Misbruik Microsoft Exchange kwetsbaarheid: blijf scannen en bereid je voor

Het NCSC adviseert om te blijven scannen en monitoren op misbruik van Microsoft Exchange Servers en maatregelen te nemen om gevolgen van misbruik te beperken. Neem contact op met uw IT-dienstverlener als de Exchange Server niet in eigen beheer is.

Wat is de aanleiding voor dit bericht?

Op 10 maart is een Proof-of-Concept (PoC) online aangetroffen waarmee Microsoft Exchange Server kwetsbaarheden misbruikt kunnen worden. Deze PoC kan gebruikt worden door kwaadwillenden om willekeurige code met systeemrechten uit te voeren op een Exchange server. De kans is daardoor groot dat misbruik van deze kwetsbaarheden op korte termijn toeneemt en ook ingezet wordt als opstap voor andere digitale aanvallen zoals ransomware.

Hoe kan ik scannen en monitoren op misbruik?

Microsoft publiceert regelmatig updates van hun scan-scripts. Het NCSC adviseert om geregeld te controleren op deze vernieuwde scripts en deze dan uit te voeren. Ook als je al hebt gepatcht en wellicht al eerder scans hebt uitgevoerd, kunnen deze vernieuwde scripts (zie Test-ProxyLogon.ps1 en http-vuln-cve2021-26855.nse) toch tot andere scanresultaten leiden en daarmee vervolgacties noodzakelijk maken.

Voor operationeel handelingsperspectief verwijzen wij graag naar ons bijgewerkte beveiligingsadvies. Hierin vind je informatie over de detectie van misbruik op je systeem en andere Exchange servers binnen het netwerk.

Hoe kan ik mogelijke gevolgen van misbruik beperken?

Denk na over maatregelen die je als organisatie kunt nemen om de gevolgen van (eerder) misbruik van kwetsbaarheden in jouw Exchange servers te beperken. De kwetsbaarheden in Microsoft Exchange Server zijn mogelijk al misbruikt voordat de patches geïnstalleerd zijn. De patches helpen niet tegen eerder verkregen malafide toegang tot de Exchange servers. Denk daarom als organisatie na wat dit voor gevolgen kan hebben en welke maatregelen je kunt nemen om deze gevolgen te beperken. 

Ga bijvoorbeeld uit van het scenario dat kwaadwillenden e-mails hebben buitgemaakt of de mogelijkheid hebben gecreëerd om een ransomware aanval uit te voeren op jouw systemen. En bepaal vervolgens welke maatregelen helpen bij het beperken van de gevolgen daarvan.

We hebben een aantal concrete adviezen die kunnen helpen bij het nemen van maatregelen:

  • Laat uw systeem (forensisch) controleren
  • Controleer de back-up voorziening
  • Reset uw wachtwoorden en gebruikersgegevens
  • Monitor of jouw gegevens zijn gelekt op internet

Als je vermoedt dat je systeem gecompromitteerd is, neem dan ook de volgende acties:

  • Doe aangifte bij de Politie
  • Overweeg een melding te doen bij de Autoriteit Persoonsgegevens
  • Herstel uw systeem of richt dit opnieuw in

Raadpleeg de volgende documenten voor aanvullende adviezen:

https://www.ncsc.nl/actueel/nieuws/2020/juni/30/dossier-ransomware

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/acties-bij-datalekken

https://www.ncsc.nl/documenten/factsheets/2014/oktober/7/help-mijn-gegevens-zijn-gelekt