Bitdefender waarschuwt voor een toename van cyberaanvallen op on-premises versies van Microsoft Exchange Server 2013, 2016 en 2019.

Het securitybedrijf ziet sinds november 2022 een stijging van ProxyNotShell en OWASSRF, twee tactieken voor aanvallen op Microsoft Exchange Server.

De tactieken maken gebruik van twee bekende kwetsbaarheden: CVE-2022-41082 en CVE-2022-41080. De kwetsbaarheden werden door Microsoft gepatcht op respectievelijk 30 september 2022 en 8 november 2022. Alleen bedrijven met verouderde versies lopen risico.

ProxyNotShell en OWASSRF

Bitdefender publiceerde een gedetailleerde beschrijving van de technieken achter ProxyNotShell en OWASSRF. Kortgezegd maakt de combinatie van de bovengenoemde kwetsbaarheden het mogelijk om code afstand uit te voeren.

De enige voorwaarde is dat de aanvaller over de inloggegevens van een gebruiker beschikt. Dit hoeft geen beheerder te zijn. Elke account volstaat.

Het merendeel van de incidenten die Bitdefender sinds november 2022 detecteert vond plaats in de Verenigde Staten. Ook bedrijven in Polen, Oostenrijk en Turkije werden geraakt. Doelwitten zijn divers, variërend van makelaardijen en advocatenbureaus tot groothandels en consultancykantoren.

SSRF-aanvallen

Zowel ProxyNotShell als OWASSRF zijn SSRF-aanvallen, kort voor server-side request forgery. Sommige systemen luisteren uitsluitend naar vertrouwde servers. Een SSRF-aanval houdt in dat een hacker de vertrouwde server kaapt of manipuleert om een systeem te kunnen bereiken.

Het probleem in Microsoft Exchange wordt veroorzaakt door Client Access Services (CAS). Dit onderdeel van de applicatie is verantwoordelijk voor alle externe HTTP/HTTPS-verzoeken. CAS bepaalt bijvoorbeeld de identiteit van een gebruiker, zodat de applicatie weet of de gebruiker wel of geen toegang tot een mailbox hoort te hebben.

Een groot deel van Microsoft Exchange luistert uitsluitend naar CAS. In 2021 ontdekten securityonderzoekers dat CAS kwetsbaar was voor SSRF-aanvallen. Hackers konden CAS onder andere misbruiken om toegang te krijgen tot mailboxen.

Preventie

Gebruik je de nieuwste versies van Microsoft Exchange, dan ben je op het moment van schrijven veilig. Elke gerelateerde kwetsbaarheid is door Microsoft gepatcht. Dat weerhoudt cybercriminelen niet van aanvallen op bedrijven met verouderde versies.

Bitdefender adviseert organisaties om te investeren in patch management. Daarnaast wijst het securitybedrijf op de effectiviteit van threat intelligence-oplossingen, waarbij verdachte IP-adressen worden herkend om verzoeken te blokkeren.

Tip: Exchange Server 2013 bereikt end-of-support op 11 april