Amerikaanse overheid opgedragen Exchange-lek voor maandag te patchen
Het Amerikaanse cyberagentschap CISA heeft Amerikaanse overheidsinstanties opgedragen een nieuwe kwetsbaarheid in Exchange Server voor maandagochtend 9.00 uur te patchen. Volgens het CISA vormt het beveiligingslek (CVE-2025-53786) een groot risico voor alle organisaties die van Microsoft Exchange hybride omgevingen gebruikmaken.
CVE-2025-53786 is aanwezig in Exchange Server 2019 en Exchange Server Subscription Edition RTM. Het probleem doet zich voor in hybride Exchange-installaties. Dit zijn omgevingen waar on-premises Exchange-servers worden gecombineerd met Exchange Online om één mailsysteem te creëren. Een aanvaller die admin-toegang tot een on-premises Exchange-server heeft kan zijn rechten verhogen naar de cloudomgeving van de organisatie.
Microsoft komt normaliter elke tweede dinsdag van de maand met beveiligingsupdates, maar besloot voor deze kwetsbaarheid een noodpatch uit te brengen. "Hoewel misbruik van dit beveiligingslek alleen mogelijk is nadat een aanvaller admin-toegang tot de on-premises Exchange server heeft, maakt CISA zich grote zorgen over het gemak waarmee een aanvaller zijn rechten kan verhogen en aanzienlijke controle over de M365 Exchange Online-omgeving van het slachtoffer kan krijgen", aldus het cyberagentschap.
Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security kan federale Amerikaanse overheidsinstanties via een "Emergency Directive" opdragen om beveiligingsupdates voor een bepaalde tijd uit te rollen. Gisterenavond kwam het cyberagentschap met een dergelijk bevel voor CVE-2025-53786.
Als onderdeel van het bevel moeten overheidsinstanties voor maandagochtend het Exchange Server Health Checker script uitvoeren om alle Exchange-servers in kaart te brengen. Vervolgens moeten beheerders het patchniveau van de servers beoordelen en kijken of de servers voor de hotfix van Microsoft in aanmerking komen. In het geval van een hybridge Exchange-omgeving moeten alle servers die end-of-life zijn en geen updates meer ontvangen worden losgekoppeld. Daarnaast geeft het CISA voor hybride omgevingen een reeks aparte instructies die moeten worden opgevolgd. Maandag aan het einde van de middag moeten alle overheidsinstanties over de status van hun Exchange-servers rapporteren.
Elke technische organisatie die wakker is en Exchange draait, had dit lek vrijdagmiddag al gepatcht, of in elk geval in paniek de infra-afdeling gebeld. Maar hier moet kennelijk een federale directive aan te pas komen om beweging in de tent te krijgen.
Dat zegt helaas veel over de staat van IT binnen sommige overheidsinstanties: traag, verouderd, en afhankelijk van externe dwang om basale securitymaatregelen te nemen. Als je Exchange on-prem én hybride draait anno 2025, mag je eigenlijk blij zijn dat je alleen nog een patch hoeft te installeren — en geen forensisch team hoeft in te huren.
Elke technische organisatie die wakker is en Exchange draait, had dit lek vrijdagmiddag al gepatcht, of in elk geval in paniek de infra-afdeling gebeld. Maar hier moet kennelijk een federale directive aan te pas komen om beweging in de tent te krijgen.
Dat zegt helaas veel over de staat van IT binnen sommige overheidsinstanties: traag, verouderd, en afhankelijk van externe dwang om basale securitymaatregelen te nemen. Als je Exchange on-prem én hybride draait anno 2025, mag je eigenlijk blij zijn dat je alleen nog een patch hoeft te installeren — en geen forensisch team hoeft in te huren.
Het probleem is vaak dat het is uitbesteed aan een extern bedrijf (o.a. ook het OM in Nederland). Dus dan komt de burocratie om de hoek kijken. Er moet eerst opdracht gegeven worden (een change) en dat moet ingepland worden. Je mag niks zo uitvoerer, want het zou anders wel een stuk kunnen gaan.
En die beheerders zijn vaak druk en hebben ook andere zaken te doen.
Veel gebruikers denken ook nog steeds dat de systeembheerders niks doen en zitten te wachten tot die gebruiker belt met zijn probleem en dat dan meteen oplossen. Maar zo is het al lang niet meer, in de IT is ook een ernstig te kort aan mensen.
Elke technische organisatie die wakker is en Exchange draait, had dit lek vrijdagmiddag al gepatcht, of in elk geval in paniek de infra-afdeling gebeld. Maar hier moet kennelijk een federale directive aan te pas komen om beweging in de tent te krijgen.
Dat zegt helaas veel over de staat van IT binnen sommige overheidsinstanties: traag, verouderd, en afhankelijk van externe dwang om basale securitymaatregelen te nemen. Als je Exchange on-prem én hybride draait anno 2025, mag je eigenlijk blij zijn dat je alleen nog een patch hoeft te installeren — en geen forensisch team hoeft in te huren.
ja en daarbovenop zijn er veel externe commerciële rakkers die vlugge projecten en facturen doen en de zaak in stand laten.... er is gewoon inmiddels heel veel kapot gemanaged in dit land en we blijven maar pappen en nathouden nu!
Zeg maar gerust iedere overheidsinstantie... Het NCSC is er hier ook maar druk mee.
Het laat gewoon heel goed zien dat, in de huidige wereld, de overheid zwaar tekort schiet.
Of dat aan het politieke systeem ligt, de verloedering van democratie, het totale gebrek aan transparantie, het gebrek aan verantwoordelijkheid of een combinatie van al deze zaken.... Wie zal het zeggen...
Elke technische organisatie die wakker is en Exchange draait, had dit lek vrijdagmiddag al gepatcht, of in elk geval in paniek de infra-afdeling gebeld. Maar hier moet kennelijk een federale directive aan te pas komen om beweging in de tent te krijgen.
Dat zegt helaas veel over de staat van IT binnen sommige overheidsinstanties: traag, verouderd, en afhankelijk van externe dwang om basale securitymaatregelen te nemen. Als je Exchange on-prem én hybride draait anno 2025, mag je eigenlijk blij zijn dat je alleen nog een patch hoeft te installeren — en geen forensisch team hoeft in te huren.
Het probleem is vaak dat het is uitbesteed aan een extern bedrijf (o.a. ook het OM in Nederland). Dus dan komt de burocratie om de hoek kijken. Er moet eerst opdracht gegeven worden (een change) en dat moet ingepland worden. Je mag niks zo uitvoerer, want het zou anders wel een stuk kunnen gaan.
En die beheerders zijn vaak druk en hebben ook andere zaken te doen.
Veel gebruikers denken ook nog steeds dat de systeembheerders niks doen en zitten te wachten tot die gebruiker belt met zijn probleem en dat dan meteen oplossen. Maar zo is het al lang niet meer, in de IT is ook een ernstig te kort aan mensen.
Bij Interne organisaties loop je tegen exact dezelfde issues aan, alleen is het escaleren veel laster. Je moet namelijk je hoofd boven het maaiveld houden.
Het change proces heb je trouwens voor zowel een extern bedrijf als bij de interne organisatie.
Elke technische organisatie die wakker is en Exchange draait, had dit lek vrijdagmiddag al gepatcht, of in elk geval in paniek de infra-afdeling gebeld. Maar hier moet kennelijk een federale directive aan te pas komen om beweging in de tent te krijgen.
Dat zegt helaas veel over de staat van IT binnen sommige overheidsinstanties: traag, verouderd, en afhankelijk van externe dwang om basale securitymaatregelen te nemen. Als je Exchange on-prem én hybride draait anno 2025, mag je eigenlijk blij zijn dat je alleen nog een patch hoeft te installeren — en geen forensisch team hoeft in te huren.
ja en daarbovenop zijn er veel externe commerciële rakkers die vlugge projecten en facturen doen en de zaak in stand laten.... er is gewoon inmiddels heel veel kapot gemanaged in dit land en we blijven maar pappen en nathouden nu!
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?