Microsoft beveelt het gebruik van deze tool aan boven het vorige ExchangeMitigations.ps1 script. De nieuwe Exchange On-premises Mitigation Tool (EOMT) is te downloaden via de GitHub-site van Microsoft.
Microsoft hoopt hiermee achterblijvers over de streep te trekken. Hoewel al twee weken lang dringend wordt geadviseerd om de nodige security updates zo snel mogelijk te installeren, heeft nog altijd een behoorlijk aantal beheerders dit verzuimd te doen.
Onbeschermd
Volgens het Nationaal Cyber Security Centrum (NCSC) in Den Haag telt Nederland nog 1.200 Exchange-servers die belangrijke beveiligingsupdates missen en daardoor kwetsbaar zijn voor aanvallen. In een update stelt het NCSC dat de servers waarop de update nog niet is uitgevoerd, vrijwel zeker zijn geïnfecteerd. Want vorige week werd op internet een 'recept' aangetroffen waarin staat hoe je misbruik kunt maken van de kwetsbaarheden.
Het NCSC constateert dat er als gevolg van deze kwetsbaarheden data worden gestolen en malware wordt geplaatst. Ook worden achterdeurtjes ingebouwd en mailboxen worden aangeboden op de zwarte markt. Via de Microsoft Exchange server kunnen kwaadwillenden mogelijk ook in andere systemen komen.
België heeft zo'n 900 onbeschermde servers, zo blijkt uit cijfers van RiskIQ. De meeste ongepatchte servers draaien op Exchange 2016. Volgens RiskIQ staan veel organisaties er niet bij stil dat hun Exchange servers zijn blootgesteld aan internet. Een ander veelvoorkomend probleem is dat aardig wat servers niet te patchen zijn en serieus toe zijn aan upgrades. Zo'n fix kan behoorlijk ingewikkeld zijn.
Installatie van deze patches dient zo snel mogelijk te gebeuren want de kwetsbaarheden worden momenteel op grote schaal misbruikt. Het begon met de statelijke actor Hafnium, naar verluidt een groep hackers die vanuit Beijing wordt aangestuurd. Maar volgens ESET Research maken inmiddels al meer dan tien groepen hackers misbruik van de kwetsbaarheden.
Tips
Ook cybercriminelen die met ransomware organisaties proberen af te persen, zijn actief. Deze hackers gebruiken servers waarin ze zijn binnengedrongen, als een springplank om een nieuwe familie van ransomware (DearCry) uit te rollen. Microsoft heeft inmiddels bevestigd dat DearCry via de vier kwetsbaarheden in Exchange zijn weg kan vinden.
Het eerder genoemde Nationaal Cyber Security Centrum (NCSC) adviseert om te blijven scannen en monitoren op misbruik van Exchange Servers. De kans bestaat dat kwetsbaarheden al zijn misbruikt voordat de patches zijn geïnstalleerd. De patches helpen namelijk niet tegen eerder verkregen malafide toegang tot deze servers. Het NCSC geeft een aantal tips voor het beperken van de mogelijke gevolgen.
Om te kunnen beoordelen moet u ingelogd zijn: