Meerdere groepen maken gebruik van een recent beveiligingslek in Microsoft Exchange om mailservers van organisaties aan te vallen, zo waarschuwt securitybedrijf Volexity. Via de kwetsbaarheid kan een aanvaller, die toegang tot het e-mailaccount van een gebruiker op de server heeft, willekeurige code met systeemrechten uitvoeren. Op deze manier kan een aanvaller volledige controle over de server krijgen en bijvoorbeeld het e-mailverkeer onderscheppen en manipuleren.

Op dinsdag 11 februari kwam Microsoft met een beveiligingsupdate voor de kwetsbaarheid. Twee weken later op 25 februari publiceerde het Zero Day Initiative (ZDI) meer details over het beveiligingslek. Vorige week werd er een module waarmee kwetsbare Exchange-servers zijn aan te vallen aan Metasploit toegevoegd, een opensourceframework voor het testen van de beveiliging van systemen en netwerken.

Kort na uitleg van het ZDI vonden de eerste aanvallen al plaats en inmiddels houden meerdere groepen zich hiermee bezig. "In sommige gevallen lijkt het erop dat de aanvallers hebben gewacht om aan te vallen met inloggegevens die anders geen nut hadden", zo stellen de onderzoekers van Volexity. Volgens het securitybedrijf maken veel organisaties gebruik van tweefactorauthenticatie, wat misbruik van een gecompromitteerd wachtwoord beperkt. "Deze kwetsbaarheid geeft aanvallers de mogelijkheid om met alleen een gebruikerswachtwoord toegang tot een belangrijke asset binnen een organisatie te krijgen", merken de onderzoekers op.

Wanneer aanvallers nog niet over een e-mailwachtwoord beschikken proberen ze via bruteforce-aanvallen toegang tot accounts en zo de server te krijgen, aldus Volexity. Na de bekendmaking van de kwetsbaarheid zou er bij verschillende organisaties een toename zijn geweest in het aantal bruteforce-aanvallen op Exchange-servers. Zodra aanvallers toegang tot een Exchange-server krijgen voeren ze systeemcommando's uit voor verdere verkenning, installeren ze een webshell die via Outlook Web Access (OWA) toegankelijk is of voeren ze aanvalssoftware uit.

Organisaties krijgen het advies om de beschikbare beveiligingsupdate te installeren en periodiek de wachtwoorden van gebruikers te resetten. "Ondanks advies dat wachtwoorden niet hoeven te worden gewijzigd, zien we regelmatig gevallen waar oude wachtwoorden voor ernstige datalekken zorgen. Deze kwetsbaarheid onderstreept dat organisaties, ondanks 2FA en andere maatregelen, door een oud of zwak wachtwoord kunnen worden getroffen", besluiten de onderzoekers.