Microsoft Defender dicht automatisch Exchange-kwetsbaarheid

Abonneer je gratis op Techzine!

Microsoft heeft een tool aan zijn Defender-antivirussoftware toegevoegd om automatisch kritieke kwetsbaarheden in Microsoft Exchange Server te dichten. Hiermee hoopt het bedrijf sneller het aantal kwetsbare systemen terug te brengen.

De automatische tool richt zich specifiek op kwetsbaarheid CVE-2021-26855. Dit is één van de vier kwetsbaarheden die aanvallers gebruikten om Exchange-servers aan te vallen. Het is de belangrijkste van de vier, omdat deze de aanvankelijke toegang tot de server mogelijk maakt. Aanvallers gebruiken de drie andere kwetsbaarheden om zich verder te kunnen verspreiden over een gekraakt netwerk.

Kwetsbaarheid automatisch gedicht

Doordat deze tool onderdeel wordt van Windows Defender en System Center Endpoint Protection, zou hij zonder tussenkomst van een beheerder gedownload en geïnstalleerd moeten worden. Zelfs als de beheerders voor wat voor reden dan ook Windows Update hebben uitgeschakeld, wordt de belangrijkste kwetsbaarheid alsnog verholpen. Dit is wel mits Defender in staat is om automatische updates op te halen, specifiek versie 1.333.747.0 of nieuwer.

Met de update controleert Defender ook automatisch of aanvallers mogelijk al zijn binnengedrongen en probeert de antivirussoftware wijzigingen door aanvallers terug te draaien, vertelt Microsoft in een blogpost. Microsoft benadrukt dat ondanks dat hierdoor de directe aanvalsmethode tegen wordt gegaan, beheerders alsnog de andere beveiligingspatches zelf moeten installeren.

One-click mitigation tool

De functionaliteit van de update komt in grote lijnen overeen met de tool die Microsoft vorige week uitbracht om gebruikers tegen aanvallers te beschermen. Die tool dicht dezelfde kwetsbaarheid en controleert ook vervolgens op mogelijke indicaties van een aanval. Microsoft raadt beheerders die niet gebruikmaken van Defender om deze tool in te zetten om zich tegen de aanvallen te beschermen.

Kwetsbaarheden steeds breder uitgebuit

Steeds meer hackergroepen lijken misbruik te maken van de kwetsbaarheden in Exchange Server. Vermoedelijk zijn het er al meer dan tien, al loopt dit aantal nog steeds op. De kwetsbaarheden worden voornamelijk gebruikt voor ransomware-aanvallen op kleine bedrijven en overheidsorganisaties. Inmiddels worden er echter ook uitgebreidere aanvallen opgezet, nu de ransomware-aanval op Acer ook gefaciliteerd lijkt te zijn door de kwetsbaarheden in Exchange Server.

Tip: Microsoft Exchange Server gehackt: wat zijn de gevolgen?