OWASSRF: kritiek veiligheidslek in Exchange-servers
De hackers achter de Play-ransomware die ook de diensten van Stad Antwerpen platlegde, vonden met OWASSRF een manier om Exchange-servers binnen te dringen.
Onderzoekers van cybersecuritybedrijf CrowdStrike waren de eersten die het lek ontdekten. Het gaat om een kwetsbaarheid in Microsoft Exchange die OWASSRF genoemd wordt. Hierlangs kunnen de mensen achter Play Exchange-servers binnendringen en vanop afstand hun malware opladen en activeren.
Microsoft catalogiseerde de kwetsbaarheid als CVE-2022-41082 en dichtte het meteen een ‘kritieke’ status toe. Het lek stelt de hackers in staat om veiligheidsmechanismen zoals ProxyNotShell te omzeilen en vanop een afstand code te draaien op een systeem. Om dat te doen wordt er misbruik gemaakt van Remote PowerShell.
Net om die reden wijst Microsoft het veiligheidslek meteen een kritieke status toe. Alle kwetsbaarheden waarlangs vanop afstand code kan uitgevoerd worden, krijgen immers die status toegewezen. Microsoft heeft echter geen bewijs gevonden dat het veiligheidslek misbruikt werd als een zero-day. Dus: nog voor de patch beschikbaar kwam.
De gevolgen van OWASSRF kunnen erg groot zijn, aangezien veel bedrijven Exchange gebruiken om het mailverkeer in goede banen te leiden. Als deze server aangevallen wordt, kunnen de gevolgen verregaand zijn. Via deze weg kunnen hackers namelijk gevoelige informatie bemachtigen en, indien ze dat wensen, de activiteiten volledig lam leggen.
De oplossing voor OWASSRF
Om jezelf en je bedrijf tegen de gevolgen van OWASSRF te beschermen, raadt Microsoft aan om de cumulatieve update van november 2022 te installeren. Is dit om een of andere reden niet mogelijk? Dan is het een goed idee om (tijdelijk) komaf te maken met Outlook Web Access. Op deze manier loop je het minste risico om slachtoffer te worden van een OWASSRF-cyberaanval.
Lees ook: Wat zijn virussen, malware, spyware en ransomware?
Daarnaast zal Microsoft een aanpassing doen aan Exchange om de veiligheid ervan te kunnen blijven garanderen. In januari 2023 zal de basistoegangsauthenticatie voor Exchange Online stoppen met werken. Begin januari zou Microsoft daarover meer informatie verschaffen aan Exchange-gebruikers die hier last van zouden ondervinden. Dat bericht zal zo’n 7 dagen voor de afschaffing verschijnen, waardoor er nog voldoende tijd is om over te stappen naar OAuth, Microsofts implementatie van de moderne toegangsauthenticatie.