Het Nationaal Cybersecurity Center (NCSC) waarschuwt dat de onlangs bekend geworden kwetsbaarheid in Microsoft Exchange Server in Nederland actief wordt misbruikt. Het advies aan alle gebruikers is om de Microsoft-beveiligingsupdate terstond te installeren.
Sinds dinsdag 2 maart is er informatie over kwetsbaarheden in on-premisesinstallaties van Microsoft Exchange Server. Op het moment van publicatie was al bekend dat deze kwetsbaarheden in de Verenigde Staten actief worden misbruikt.
Patchen en sporen zoeken
Van een van zijn partners heeft het NCSC vernomen dat ook binnen Nederland actief misbruik wordt gemaakt van deze kwetsbaarheden. Het adviseert dringend om de door Microsoft beschikbaar gestelde updates zo snel mogelijk te installeren, maar ook om echt op zoek te gaan naar sporen van onheil.
Indicators of Compromise (IoC's) zijn te vinden in de advisory van Microsoft en in de blogpost van Volexity. Microsoft heeft in zijn advisory PowerShell-scripts beschikbaar gesteld waarmee logbestanden automatisch kunnen worden gecontroleerd. Houd er rekening mee dat aanwezigheid van deze IoC's niet noodzakelijkerwijs betekent dat de Exchange-omgeving is gecompromitteerd.
Update, 6 maart: Het NCSC meldt dat de beveiligingspatches van Microsoft alleen werken op servers die de 'Cumulative Update' hebben gehad. Deze update is voor elke versie anders en moet handmatig geïnstalleerd worden. Organisaties moeten die stap eerst controleren, zonder te kunnen vertrouwen op automatische updates.
