image

NCSC: 40 procent Nederlandse Exchange-servers kwetsbaar voor aanvallen

maandag 8 maart 2021, 14:40 door Redactie, 12 reacties

Meer dan veertig procent van de Exchange-servers in Nederland is kwetsbaar voor aanvallen omdat beheerders hebben nagelaten door Microsoft beschikbare beveiligingsupdates te installeren. Volgens de Amerikaanse overheid worden kwetsbare Exchange-servers inmiddels wereldwijd en op grote schaal aangevallen. De Duitse overheid liet vorige week weten dat alle nog niet gepatcht Exchange-servers als besmet moeten worden beschouwd.

Vorige week dinsdag kwam Microsoft met beveiligingsupdates voor vier kwetsbaarheden in Exchange Server 2013, 2016 en 2019 waardoor een aanvaller kwetsbare servers op afstand kan overnemen, om die vervolgens met malware te infecteren en voor verdere aanvallen te gebruiken.

"Uit eigen onderzoek van het NCSC blijkt dat op meer dan 40 procent van de Nederlandse Microsoft Exchange servers de beschikbare updates nog niet geïnstalleerd zijn. Gezien de hoge kans op misbruik van de kwetsbaarheden met mogelijk grote schade tot gevolg, adviseert het NCSC dringend om de updates op Microsoft Exchange Servers direct te installeren", aldus de overheidsinstantie.

Het NCSC waarschuwt verder dat kwaadwillenden kwetsbare systemen steeds sneller weten te vinden en uit te buiten. Microsoft heeft inmiddels tools en scripts beschikbaar gesteld waarmee organisaties kunnen controleren of hun Exchange-servers zijn gecompromitteerd.

Een anonieme beveiligingsonderzoeker verklaart tegenover Wired weten dat wereldwijd honderdduizenden Exchange-servers zijn getroffen, waarvan 30.000 in de Verenigde Staten. Een aantal dat bronnen ook aan it-journalist Brian Krebs bevestigen. Volgens Steven Adair van securitybedrijf Volexity, dat misbruik van de Exchange-lekken begin dit jaar ontdekte, hebben de aanvallers bij een gigantisch aantal organisaties een voet tussen de deur gekregen. "Het is een tikkende tijdbom die op elk moment tegen hen kan worden gebruikt", zo waarschuwt hij.

Reacties (12)
08-03-2021, 16:37 door Anoniem
Heerlijk he al die standaardisatie. Loop je ook geen risico bij ene grote diversiteit waar de natuur voorstander van is.

Maar de natuur is een zooitje...nee dat is het niet, het is gigantisch complex en daardoor lijkt het zo. Leer er nou eens wat van.
08-03-2021, 21:04 door Anoniem
Door Anoniem: Heerlijk he al die standaardisatie. Loop je ook geen risico bij ene grote diversiteit waar de natuur voorstander van is.

Maar de natuur is een zooitje...nee dat is het niet, het is gigantisch complex en daardoor lijkt het zo. Leer er nou eens wat van.
Ik zal speciaal voor jou 100 verschillende mail servers laten opzetten met 100 verschillende beheerders. Lekker praktisch man.
08-03-2021, 22:18 door Anoniem
Door Anoniem:
Door Anoniem: Heerlijk he al die standaardisatie. Loop je ook geen risico bij ene grote diversiteit waar de natuur voorstander van is.

Maar de natuur is een zooitje...nee dat is het niet, het is gigantisch complex en daardoor lijkt het zo. Leer er nou eens wat van.
Ik zal speciaal voor jou 100 verschillende mail servers laten opzetten met 100 verschillende beheerders. Lekker praktisch man.

Het zou mooi zijn wanneer die 100 verschillende beheerders kennis met elkaar uitwisselden. Maar nee hoor, in NL zit ieder in zijn eigen domme bubbel het wiel opnieuw aan het uitvinden. Samenwerken in NL is oh zo moeilijk!
09-03-2021, 08:42 door Anoniem
Door Anoniem:
Door Anoniem: Heerlijk he al die standaardisatie. Loop je ook geen risico bij ene grote diversiteit waar de natuur voorstander van is.

Maar de natuur is een zooitje...nee dat is het niet, het is gigantisch complex en daardoor lijkt het zo. Leer er nou eens wat van.
Ik zal speciaal voor jou 100 verschillende mail servers laten opzetten met 100 verschillende beheerders. Lekker praktisch man.
Zou welkom zijn om deze kwetsbare monocultuur uit te bannen. Daarom is standaardisatie van protocollen belangrijk en niet standaardisatie op bedrijf.
09-03-2021, 09:15 door Anoniem
Door Anoniem:
Door Anoniem: Heerlijk he al die standaardisatie. Loop je ook geen risico bij ene grote diversiteit waar de natuur voorstander van is.

Maar de natuur is een zooitje...nee dat is het niet, het is gigantisch complex en daardoor lijkt het zo. Leer er nou eens wat van.
Ik zal speciaal voor jou 100 verschillende mail servers laten opzetten met 100 verschillende beheerders. Lekker praktisch man.

Het kan geen kwaad op aan risicospreiding te doen. Dus i.p.v. alleen maar hosted exchange aanbieden ook 2 alternatieven met Unix / Linux als basis en verschillende Mail Transfer Agents. Als het dan echt goed misgaat is maar 1/3e van je omgeving geraakt. Als je alleen maar 1 standaard oplossing gebruikt dan ben je nog veel interessanter voor aanvallers omdat als ze slagen, ze direct 100% van je omgeving in handen hebben.

Wat jij bedoeld is het beheren van een wildgroei aan kleinschalige onpremise mailoplossingen. Maar dat zie je in het bedrijfsleven niet meer veel...
09-03-2021, 09:19 door Anoniem
Kan iemand mij vertellen hoe dit soort onderzoeken worden gedaan?
Heeft NCSC een backdoor bij 40% van de bedrijven of staan bedrijven netjes aangesloten bij het NCSC?

Of kan je middels python tegen elke exchange server aanpraten en met de juiste oid de geïnstalleerde updates naar voren toveren?
09-03-2021, 10:36 door _R0N_
Door Anoniem: Kan iemand mij vertellen hoe dit soort onderzoeken worden gedaan?
Heeft NCSC een backdoor bij 40% van de bedrijven of staan bedrijven netjes aangesloten bij het NCSC?

Of kan je middels python tegen elke exchange server aanpraten en met de juiste oid de geïnstalleerde updates naar voren toveren?

Dat laatste ongeveer. Weet niet of ze Python gebruiken of iets anders maar ze scannen het Nederlandse netwerk af en mailen alle betrokkenen.
09-03-2021, 18:54 door Anoniem
Ja, Python hebben ze gebruikt.
Bijvoorbeeld het volgende commando.

"/ecp/y.js","X-BEResource-Cookie","python-requests/2.18.4","ServerInfo~a]@**servername**:443/mapi/emsmdb/?#","200"
10-03-2021, 11:42 door Anoniem
Door Anoniem: Ja, Python hebben ze gebruikt.
Bijvoorbeeld het volgende commando.

"/ecp/y.js","X-BEResource-Cookie","python-requests/2.18.4","ServerInfo~a]@**servername**:443/mapi/emsmdb/?#","200"

Heb jij hier meer info waar ik dit kan vinden. Python is niet mijn taal. Ken het maar een klein beetje.
10-03-2021, 13:48 door Anoniem
Hier is een mooie discussie met veel info.

https://www.reddit.com/r/sysadmin/comments/lz1jp4/youve_been_hit_by_youve_been_struck_by_an/
10-03-2021, 15:02 door Anoniem
Door Anoniem: Ja, Python hebben ze gebruikt.
Bijvoorbeeld het volgende commando.

"/ecp/y.js","X-BEResource-Cookie","python-requests/2.18.4","ServerInfo~a]@**servername**:443/mapi/emsmdb/?#","200"

.js is dat niet java script?
11-03-2021, 10:25 door Anoniem
Door Anoniem: Hier is een mooie discussie met veel info.

https://www.reddit.com/r/sysadmin/comments/lz1jp4/youve_been_hit_by_youve_been_struck_by_an/

Thanks!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.