Op internet zijn zo'n 100.000 Outlook Web Access (OWA)-servers te vinden die kwetsbaar zijn voor aanvallen omdat door Microsoft beschikbare beveiligingsupdates voor Exchange niet zijn geïnstalleerd en een aanzienlijk aantal is al besmet met malware, zo meldt internetbedrijf Netcraft op basis van eigen onderzoek.

Via Outlook Web Access kan erop afstand toegang worden gekregen tot de mailboxes op Exchange-servers. Dit weekend detecteerde Netcraft meer dan 99.000 OWA-servers waarvan vaststaat dat ze kwetsbaar zijn. Daarnaast werden nog eens ruim 100.000 servers geteld die mogelijk risico lopen, maar waarvan de patchstatus niet met zekerheid kon worden vastgesteld.

Via de kwetsbaarheden in Exchange kan een aanvaller op afstand toegang tot de mailserver krijgen. Volgens Netcraft is tenminste tien procent van alle gecontroleerde OWA-servers inmiddels besmet met webshells die als backdoor voor aanvallers dienen. Deze backdoors maken geen gebruik van willekeurige bestandsnamen en zijn zo door iedereen te raden, stelt Paul Mutton van Netcraft. Via de webshell krijgt een aanvaller toegang tot de server, ook al is de kwetsbaarheid in kwestie al verholpen.

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security kwam gisteren met een nieuwe waarschuwing waarin het alle organisaties oproept om de Exchange-kwetsbaarheden meteen te verhelpen, aangezien misbruik grootschalig en ongericht is. Ook de FBI adviseert organisaties om de beveiligingsupdates direct te installeren.