Nieuws

Microsoft brengt updates uit voor niet meer ondersteunde Exchange-servers

dinsdag 9 maart 2021, 14:31 door Redactie, 4 reacties

Microsoft heeft de beveiligingsupdates voor vier kwetsbaarheden in Exchange die vorige week dinsdag verschenen ook beschikbaar gemaakt voor niet meer ondersteunde Exchange-servers. Dat laat het techbedrijf in de bijbehorende beveiligingsbulletins weten. Via de beveiligingslekken kan een aanvaller kwetsbare Exchange-servers op afstand overnemen.

Er wordt inmiddels op zeer grote schaal misbruik van de kwetsbaarheden gemaakt en wereldwijd zijn naar schatting vele tienduizenden organisaties getroffen. De beveiligingslekken zijn aanwezig in Server 2013, 2016 en 2019. Exchange-servers worden echter vanaf een bepaald patchniveau door Microsoft ondersteund. Dit wordt aangegeven door middel van de geïnstalleerde Cumulative Update (CU).

Exchange-servers moeten een bepaalde Cumulative Update hebben geïnstalleerd om beveiligingsupdates te ontvangen. Servers onder de betreffende Cumulative Update worden niet meer ondersteund. Vanwege de aanvallen heeft Microsoft nu voor deze versies ook updates beschikbaar gesteld. Het gaat onder andere om Exchange Server 2019 CU 6, CU 5 en CU 4 en Exchange Server 2016 CU 16, CU 15 en CU14.

Deze updates, die via het Microsoft Download Center beschikbaar zijn, verhelpen alleen de vier kwetsbaarheden in kwestie. Om tegen andere beveiligingslekken beschermd te zijn is de installatie van een recente Cumulative Update vereist.

Kritiek

Er is inmiddels ook kritiek op Microsoft gekomen, aangezien het techbedrijf begin januari al over de kwetsbaarheden was ingelicht. De bekende beveiligingsonderzoeker 'Orange Tsai' van securitybedrijf DEVCORE, die eerder de zeer kritieke en veel misbruikte kwetsbaarheid in Pulse Secure SSL VPN ontdekte, waarschuwde Microsoft begin januari en noemde het de gevaarlijkste remote code execution-kwetsbaarheid die hij ooit had ontdekt.

Securitybedrijven Volexity en Dubex ontdekten misbruik van de kwetsbaarheden begin januari. De bedrijven waarschuwden Microsoft eind januari en begin februari. Uiteindelijk kwam Microsoft op 2 maart met beveiligingsupdates. Oorspronkelijk was Microsoft van plan om de updates vandaag, tijdens de geplande patchcyclus van maart, uit te rollen, maar besloot daar toch vanaf te zien en de patches een week eerder aan te bieden.

WordPress-sites aangevallen via zerodaylek in Elementor add-on

Minister: vaccinatiebewijs komt zowel op papier als digitaal beschikbaar

Reacties (4)

09-03-2021, 16:58 door Anoniem

Op zich mooi dat MS dit doet, maar wat een treurnis dat dus kennelijk zoveel organisaties verouderde software draaien dat het zinnig is om zelfs daar nog updates voor uit te brengen.

Als je het al niet op kan brengen om je Exchange servers up to date te houden (CU14 is al meer dan een jaar oud..), wat doe je dan in de IT?

09-03-2021, 20:26 door Anoniem

Door Anoniem: Op zich mooi dat MS dit doet, maar wat een treurnis dat dus kennelijk zoveel organisaties verouderde software draaien dat het zinnig is om zelfs daar nog updates voor uit te brengen.

Als je het al niet op kan brengen om je Exchange servers up to date te houden (CU14 is al meer dan een jaar oud..), wat doe je dan in de IT?

Omdat onderhoud geld kost en het altijd te duur is voor sommige bedrijven, als het te laat is dan pas worden ze wakker. Helaas is dit de praktijk en heeft niets met de IT-er te maken.

09-03-2021, 20:53 door Anoniem

Beetje een domme opmerking. Wie zegt niet op kan brengen? Er zijn zo veel beheerders die willen patchen maar het niet mogen van leidinggevenden.

09-03-2021, 22:37 door Anoniem

Ja mooi he, vergeten hun eigen cu17 te vermelden.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Switchen naar een dumbphone wegens:

Vacature

Toezichthouder informatiebeveiliging Overheid

Rijksinspectie Digitale Infrastructuur (RDI)

Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.

Lees meer

Vacature

Adviseur Informatiebeveiliging

Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Microsoft brengt updates uit voor niet meer ondersteunde Exchange-servers

Kritiek

Switchen naar een dumbphone wegens:

Wachtwoord Vergeten

Password Reset

Registreren