Z-CERT wijst alle zorgorganisaties in Nederland erop dat potentiële schade door misbruik groot kan zijn. Zeker nu er veel aandacht is voor de zero-days op het internet en in de media. Misbruikers weten nu welke systemen kwetsbaar zijn. Wie nog niet geüpdatet heeft, is een potentieel doelwit. De kwetsbaarheden treffen Exchange Server 2013, 2016 en 2019. Het Nationaal Cyber Security Centrum heeft de kwetsbaarheden geclassificeerd in de hoogste en meest urgente categorie ‘High/High’. Ook andere organisaties zoals het Digital Trust Center hebben hierover een waarschuwing uitgestuurd.
Microsoft Exchange bevat zero-days: update nu
Het is alle hens aan dek voor gebruikers van Microsoft Exchange. Microsoft heeft 2 maart bekend gemaakt dat meerdere zero-day kwetsbaarheden in Exchange servers actief worden misbruikt door kwaadwillenden. Er zijn patches uitgebracht die gebruikers direct moeten installeren. Zero-days zijn tot nog toe onbekende kwetsbaarheden in systemen. Z-CERT heeft de Nederlandse zorginstellingen direct gewezen op de kwetsbaarheden en de te nemen acties via een Operational Alert.
Wat is een Exchange Server?
Exchange is een product van Microsoft dat wordt ingezet als mailserver om e-mails te ontvangen en verzenden, met vaak een eigen domein (@bedrijf.nl) als afzender. Daarnaast geeft een Exchange Server de mogelijkheid om e-mail, contacten en agenda’s te synchroniseren met verschillende apparaten.
Veel bedrijven gebruiken tegenwoordig e-mail in de cloud zoals bijvoorbeeld Office365 of Gmail, maar ondanks deze trend zijn er ook nog veel bedrijven die een eigen e-mailserver gebruiken en beheren. In veel gevallen wordt hiervoor Microsoft Exchange Server gebruikt.
Wat is het risico?
De kwetsbaarheden maken het voor een kwaadwillende mogelijk om Exchange Servers volledig over te nemen wanneer zij netwerktoegang hebben tot deze servers. Een aanvaller kan op dat moment malware installeren en data inzien.
Exchange Servers zijn vaak via het internet te benaderen zodat medewerkers overal hun e-mail kunnen benaderen. Bijvoorbeeld via Outlook, webmail of mobiele telefoons. Exchange Servers die toegankelijk zijn via het internet zijn ook door kwaadwillende makkelijk te vinden waardoor de kans op misbruik toeneemt.
Wat moeten zorgorganisaties doen?
Installeer de beschikbare beveiligingsupdates zo snel mogelijk te. Wacht hierbij niet op eventuele ingeplande updatemomenten. Op de website van Microsoft is hierover meer informatie te vinden. Daarnaast adviseert Z-CERT om de omgeving te controleren op de bekende Indicators Of Compromise (IoC’s) om te controleren of je systeem reeds is gecompromiteerd.
Neem indien nodig contact op met uw externe IT dienstverlener Exchange Server met het verzoek deze updates zo snel mogelijk te installeren.
Ook oudere versies van Exchange Server kunnen kwetsbaar zijn. Deze worden echter niet meer ondersteund omdat ze de End-Of-Life status hebben bereikt. Wanneer u nog gebruik maakt van een oudere Exchange Server dan is het advies deze spoedig te upgraden naar een recenter versie.
Aanvullende Informatie
Let op; Weet dat beveiligingsupdates voor Microsoft Exchange alleen beschikbaar zijn voor servers die een bepaalde versie van de zogenaamde “Cumulative Update” geïnstalleerd hebben. Een “Cumulative Update” brengt Microsoft per Exchange Server versie om de 3 à 4 maanden uit. Voor Exchange Server 2013, 2016 en 2019 dient een “Cumulative Update” handmatig geïnstalleerd te worden. U kunt dus niet uitsluitend uitgaan van de automatische updates. Microsoft geeft op de volgende pagina meer informatie over de beschikbare “Cumulative Updates.”
De beveiligingsupdate voor de hierboven beschreven kwetsbaarheid is beschikbaar voor de volgende versies:
- Microsoft Exchange Server 2013 Cumulative Update 23
- Microsoft Exchange Server 2016 Cumulative Update 18
- Microsoft Exchange Server 2016 Cumulative Update 19
- Microsoft Exchange Server 2019 Cumulative Update 7
- Microsoft Exchange Server 2019 Cumulative Update 8
Bronnen: Microsoft, NCSC en DTC.