57.000 Exchange-servers zijn nog kwetsbaar voor rce-kwetsbaarheid ondanks update

by | Jan 5, 2023 | Uncategorized |

Ruim 57.000 Microsoft Exchange-servers wereldwijd zijn nog steeds kwetsbaar voor de kwetsbaarheden die onder ProxyNotShell bekendstaan. Microsoft bracht begin november een update uit voor deze remote code execution-kwetsbaarheden.

De non-profitbeveiligingsorganisatie Shadowserver houdt bij welke Microsoft Exchange-servers nog niet zijn geüpdatet en zegt dat er maandag nog 57268 servers waren die niet het juiste versienummer hadden. Meer dan de helft, bijna dertigduizend servers, staan in Europa. Zeventienduizend staan in Noord-Amerika en meer dan zesduizend servers staan in China.

Shadowserver volgt de ProxyNotShell-kwetsbaarheid al langer en zei bijvoorbeeld op 26 december dat er nog bijna zeventigduizend kwetsbare Exchange-servers waren, waarvan de meeste in de Verenigde Staten en Duitsland.

ProxyNotShell bestaat uit twee kwetsbaarheden waar Microsoft eind september voor het eerst voor waarschuwde. Toen waren het al actief misbruikte kwetsbaarheden die samen criminelen een remote code execution laten uitvoeren, mits ze toegang hebben tot PowerShell en geauthenticeerde toegang hebben tot de kwetsbare Exchange Servers.

Microsoft adviseerde gebruikers destijds om maatregelen te nemen die de aanvallen konden stoppen, maar volgens Shadowserver kunnen kwaadwillenden die maatregelen inmiddels omzeilen. Het gaat om een Server-Side Request Forgery-kwetsbaarheid CVE-2022-41040 en CVE-2022-41082. Begin november bracht Microsoft een update uit voor de kwetsbaarheden.