image

Microsoft adviseert uitschakelen remote PowerShell op Exchange-servers

maandag 3 oktober 2022, 11:16 door Redactie, 6 reacties

Microsoft roept organisaties en bedrijven op om remote PowerShell op hun Exchange-servers uit te schakelen. Aanleiding is de aanwezigheid van twee zerodaylekken waar aanvallers op dit moment actief misbruik van maken voor het aanvallen van Exchange-servers. In Nederland zouden bijna achtduizend Exchange-servers risico lopen.

De eerste kwetsbaarheid (CVE-2022-41040) is een Server-Side Request Forgery (SSRF) kwetsbaarheid. Hiermee kan een aanvaller de functionaliteit van een server misbruiken om toegang tot resources te krijgen waar hij anders geen directe toegang toe zou hebben. De tweede kwetsbaarheid (CVE-2022-41082) maakte remote code execution (RCE) mogelijk wanneer PowerShell voor de aanvaller toegankelijk is.

Microsoft kwam vorige week al met een waarschuwing voor de zerodaylekken, die volgens het techbedrijf sinds augustus bij gerichte aanvallen "tot tien organisaties" zijn waargenomen. Via de kwetsbaarheden installeren de aanvallers een webshell waarmee ze toegang tot de server behouden en stelen allerlei informatie. Nu details over de kwetsbaarheden openbaar zijn geworden zal het aantal aanvallen naar verwachting toenemen. Een beveiligingsupdate is echter nog niet beschikbaar. Wel heeft Microsoft mitigerende maatregelen aangeraden, waaronder het instellen van Rewrite-url's op de Exchange-server, waardoor de huidige aanvallen niet meer werken.

Gisteren kwam Microsoft met een nieuw advies en roept organisaties nu op om remote PowerShell uit te schakelen voor gebruikers die geen beheerder zijn. Via remote PowerShell kan op afstand verbinding met de Exchange-server worden gemaakt. Daarnaast heeft Microsoft meer informatie gegeven waarmee organisaties kunnen controleren of hun Exchange-servers zijn aangevallen.

De kwetsbaarheden zijn aanwezig in Exchange Server 2013, 2016 en 2019. Volgens securitybedrijf Censys zijn er wereldwijd zo'n 188.000 Exchange-servers vanaf het internet toegankelijk. Daarvan bevinden zich er 7600 in Nederland, aldus het Microsoft Outlook Dashboard van het securitybedrijf.

Reacties (6)
03-10-2022, 12:08 door Anoniem
Waarom zouden standaard gebruikers überhaupt toegang hebben tot een Exchange Server via PowerShell remoting? Lees ik iets verkeerd of is dit gewoon een vanzelfsprekend iets?
03-10-2022, 14:01 door Anoniem
Tjonge jonge twee zerodaylekken nog wel. Het ligt voor de hand om dit product helemaal niet meer te gebruiken (om ransomware infecties te voorkomen) en kijk ook even naar de andere producten van deze leverancier.
03-10-2022, 14:52 door _R0N_
Door Anoniem: Waarom zouden standaard gebruikers überhaupt toegang hebben tot een Exchange Server via PowerShell remoting? Lees ik iets verkeerd of is dit gewoon een vanzelfsprekend iets?

Dat ontgaat mij ook een beetje. Je kunt "dingen" automatiseren door PowerShell te gebruiken maar waarom zouden gewone gebruikers dat nodig hebben?
03-10-2022, 15:12 door Anoniem
ik denk dat er op een MS exchange servert std poupershell aanwezig is en als je de exchange http(s) servert powned, dan kun je ook die poupershell runnen met dezelfde rechten als de http(s) exchange processen draaien. hier een case voor zoiets als een echte MAC (mandatory access control) itt de MS zwakkere variant MIC (mandatory integrity control).

https://en.wikipedia.org/wiki/Mandatory_access_control
https://en.wikipedia.org/wiki/Mandatory_Integrity_Control
03-10-2022, 15:13 door Anoniem
Door _R0N_:
Door Anoniem: Waarom zouden standaard gebruikers überhaupt toegang hebben tot een Exchange Server via PowerShell remoting? Lees ik iets verkeerd of is dit gewoon een vanzelfsprekend iets?

Dat ontgaat mij ook een beetje. Je kunt "dingen" automatiseren door PowerShell te gebruiken maar waarom zouden gewone gebruikers dat nodig hebben?
Applicatiebeheerders zijn vaak ook "gewone gebruikers". En er wordt (te vaak) wel eens van alles houtje-touwtje aan elkaar geknoopt.
04-10-2022, 07:42 door Anoniem
Een gat dat al meer dan een maand bekend is, is geen zeroday maar onverantwoordelijk gedrag van de leverancier.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.