57.000 ongepatchte Exchange-servers zijn nog kwetsbaar voor rce-kwetsbaarheid

Ruim 57.000 Microsoft Exchange-servers wereldwijd zijn nog steeds kwetsbaar voor de kwetsbaarheden die onder ProxyNotShell bekendstaan. Microsoft bracht begin november een update uit voor deze remote code execution-kwetsbaarheden.

De non-profitbeveiligingsorganisatie Shadowserver houdt bij welke Microsoft Exchange-servers nog niet zijn geüpdatet en zegt dat er maandag nog 57268 servers waren die niet het juiste versienummer hadden. Meer dan de helft, bijna dertigduizend servers, staan in Europa. Zeventienduizend staan in Noord-Amerika en meer dan zesduizend servers staan in China.

Shadowserver volgt de ProxyNotShell-kwetsbaarheid al langer en zei bijvoorbeeld op 26 december dat er nog bijna zeventigduizend kwetsbare Exchange-servers waren, waarvan de meeste in de Verenigde Staten en Duitsland.

ProxyNotShell bestaat uit twee kwetsbaarheden waar Microsoft eind september voor het eerst voor waarschuwde. Toen waren het al actief misbruikte kwetsbaarheden die samen criminelen een remote code execution laten uitvoeren, mits ze toegang hebben tot PowerShell en geauthenticeerde toegang hebben tot de kwetsbare Exchange Servers.

Microsoft adviseerde gebruikers destijds om maatregelen te nemen die de aanvallen konden stoppen, maar volgens Shadowserver kunnen kwaadwillenden die maatregelen inmiddels omzeilen. Het gaat om een Server-Side Request Forgery-kwetsbaarheid CVE-2022-41040 en CVE-2022-41082. Begin november bracht Microsoft een update uit voor de kwetsbaarheden.

Now around 57K in latest scans (for Jan 3rd). Let's get these numbers down! #ProxyNotShell https://t.co/lQWZEMsTbq https://t.co/5Myq568wfY
— Shadowserver (@Shadowserver) 4 januari 2023

Reacties (20)

PFY 4 januari 2023 20:43

Scan tooltje op Github en testen die machines.
https://github.com/CronUp...proxynotshell_checker.nse
Vereist Nmap.

Of je kan een gratis webshell apt scanner (Thor-lite) krijgen bij Nextron Systems.
https://www.nextron-systems.com/thor-lite/

Dan weet je in ieder geval of die nou nog vatbaar is of niet.

DDX @PFY • 4 januari 2023 21:11

Gewoon de Microsoft tool draaien :
https://microsoft.github....iagnostics/HealthChecker/

Die meld zowel security zaken die je mist, maar loopt ook settings na (ssl,netwerk kaart etc)

Maargoed mensen die die patch niet installed hebben gaan dit soort tooltjes ook niet draaien.
Zullen veel bedrijven zijn die ooit (door iemand) exchange hebben laten installeren en daarna niet meer naar omgekeken, want het werkt toch ?

[Reactie gewijzigd door DDX op 23 juli 2024 08:35]

Scriptkid @DDX • 4 januari 2023 21:31

Daarvoor hebben ze een hele mooie tool genaamd EXO

SSH @Scriptkid • 5 januari 2023 13:28

Niet alle legacy systemen kunnen overweg met EXO. Natuurlijk zijn er workarounds voor, maar als je slim was had je de om prem exchange allang afgesloten van het internet...

Verwijderd @DDX • 5 januari 2023 12:34

Zullen veel bedrijven zijn die ooit (door iemand) exchange hebben laten installeren en daarna niet meer naar omgekeken, want het werkt toch ?

Er zijn heel veel redenen waarom het misgaat binnen organisaties. Zo ken ik organisaties die het 'beheer' uitbesteed hebben waarbij er amper onderhoud gepleegd wordt, organisaties waarbij mensen vertrekken of overspannen raken (gebeurd aan de lopende band in IT) en de verantwoordelijkheid nooit wordt overgedragen aan een collega. Ook zie ik veel 'oude' Exchange servers die zijn blijven staan na een migratie en waar niemand aan toe komt om ze uit te faseren (was nooit onderdeel van het EXO project, is mij ook eens overkomen tot frustratie). Of simpelweg eilandjes gedrag: niet mijn probleem!

De bedrijven die een onbeheerde Exchange server hadden staan (als in MKB) zijn al wel over naar EXO denk ik.

jpsch 4 januari 2023 20:22

Kop suggereert dat ze nog kwetsbaar zijn na updaten.

TheVivaldi @jpsch • 4 januari 2023 20:40

“[…] maar volgens Shadowserver kunnen kwaadwillenden die maatregelen inmiddels omzeilen”

Dus ja, nog steeds kwetsbaar na updaten.

achellal @TheVivaldi • 4 januari 2023 20:47

Als je de artikel goed leest zie je dat Microsoft in eerste instantie workaround van maatregelen had aangegeven voordat er patch was. Deze maatregelen waren niet voldoende. Pas na November patch (zie laatste regel artikel) is het volledig gepatcht.

juiste info: https://www.bleepingcompu...to-proxynotshell-attacks/

[Reactie gewijzigd door achellal op 23 juli 2024 08:35]

GoBieN-Be @TheVivaldi • 4 januari 2023 20:47

Nee, nog steeds kwetsbaar na de maatregelen van september.
Update van november lost het daadwerkelijk op.

Jochem

@jpsch • 4 januari 2023 20:30

eens zo las ik het ook en was benieuwd waarom ze na de update zelfs nog kwetsbaar zijn.

ISaFeeliN @Jochem • 4 januari 2023 20:34

Omdat de patch niet goed (genoeg) was?

dasiro @ISaFeeliN • 4 januari 2023 22:05

het was geen patch, slechts mitigation.

Uit het artikel van september (vóór de patch):

Microsoft benadrukt dat geauthenticeerde toegang tot de kwetsbare Exchange Servers vereist is om een aanval uit te kunnen voeren.

Het bedrijf heeft nog geen update uitgebracht voor de kwetsbaarheden, maar zegt dat gebruikers kwetsbare Remote PowerShell-poorten moeten uitschakelen en een blocking rule moeten toevoegen binnen de IIS Manager.

86ul @jpsch • 4 januari 2023 20:34

Kop suggereert dat ze nog kwetsbaar zijn na updaten.

In de laatste alinea staat het antwoord, zie italics:

Microsoft adviseerde gebruikers destijds om maatregelen te nemen die de aanvallen konden stoppen, maar volgens Shadowserver kunnen kwaadwillenden die maatregelen inmiddels omzeilen.

jpsch @86ul • 5 januari 2023 09:58

Dat gaat toch om de workaround, niet om de update?

86ul @jpsch • 5 januari 2023 11:06

Dat gaat toch om de workaround, niet om de update?

Omdat er meerdere updates vermeld staan, begreep ik dat enkel een volledig up-to-date server veilig is, een deelse te omzeilen is, en een niet gewoon te hacken is. Vandaar mijn reactie.

Hoe dan ook, ik ben geen techneut, noch van beroep, noch als hobbyist, dus ik kan het deels, of volledig fout hebben.

jpsch @86ul • 5 januari 2023 11:18

Helpt natuurlijk niet dat ze de kop aanpassen.

dutchgio 4 januari 2023 21:15

De genoemde maatregelen zijn een workaround, niet een update. Die workaround is niet langer veilig, de update wel.
De titel is nogal misleidend.
Als je de update wel hebt toegepast ben je niet kwetsbaar.

Zo wordt het ineens een heel sensatie artikel terwijl er dus eigenlijk niets aan de hand is als je gepatched hebt.

Baserk 4 januari 2023 22:21

Correcte titel zou zijn;
"57.000 Exchange-servers zijn nog kwetsbaar voor rce-kwetsbaarheid ondanks beschikbaarheid update".

KillerAce_NL 4 januari 2023 20:58

Ik vind ook dat de titel misleidend is. Na updaten ben je NIET kwetsbaar, alleen als je NIET geupdate hebt en alleen gemitigeerd hebt..

TweakerCarlo 5 januari 2023 05:36

Best wel kwetsbaar allemaal. Vooral de nieuwere generatie.

Op dit item kan niet meer gereageerd worden.

57.000 ongepatchte Exchange-servers zijn nog kwetsbaar voor rce-kwetsbaarheid

Lees meer

Reacties (20)

Sorteer op:

Weergave: