Veiligheidslek in Microsoft Exchange: risico op overname gehele domein
Microsoft heeft richtlijnen gepubliceerd voor een ernstige kwetsbaarheid, genaamd CVE-2025-53786, die hybride Exchange-implementaties treft. De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft hierop gereageerd met een spoedrichtlijn, omdat misbruik kan leiden tot volledige overname van de identiteiten binnen de cloud- en on-premise omgeving van een organisatie.
De kwetsbaarheid bevindt zich in de configuratie van hybride systemen en stelt een aanvaller met administratieve toegang tot een lokale Exchange-server in staat om zijn bevoegdheden te vergroten. Hoewel er volgens Microsoft nog geen misbruik in het wild is waargenomen, waarschuwt CISA dat de impact groot kan zijn. Het niet aanpakken van dit lek kan de identiteitsintegriteit van de Exchange Online-service van een organisatie in gevaar brengen.
Aanvallers kunnen via dit lek privileges verhogen in de cloudomgeving van Exchange Online. Het probleem ontstaat doordat on-premise Exchange-servers en Exchange Online een gedeelde identiteit gebruiken. Een aanvaller met administratieve toegang tot een lokale server kan hierdoor onopgemerkt toegang krijgen tot de cloudomgeving.
Wat moeten organisaties doen?
CISA dringt er bij organisaties met een hybride Exchange-omgeving op aan om de aanbevolen stappen van Microsoft onmiddellijk te volgen:
- Beoordeel de risico's: Controleer de richtlijnen van Microsoft om te bepalen of uw hybride implementaties mogelijk zijn getroffen.
- Installeer de updates: Installeer de "April 2025 Exchange Server Hotfix Updates" op de lokale Exchange-server.
- Configureer de app: Volg de configuratie-instructies voor de "dedicated Exchange hybrid app".
- Schoon op: Organisaties die Exchange hybride gebruiken (of in het verleden hebben gebruikt) moeten de "Service Principal Clean-Up Mode" van Microsoft raadplegen om de
keyCredentialsvan de 'service principal' te resetten. - Controleer de status: Voer de "Microsoft Exchange Health Checker" uit om te zien of er verdere actie nodig is.
CISA adviseert organisaties ook dringend om publieke versies van Exchange of SharePoint Server die het einde van hun levensduur hebben bereikt (End-of-Life, EOL), te ontkoppelen van het internet. SharePoint Server 2013 en oudere versies zijn bijvoorbeeld EOL en moeten worden uitgefaseerd.
Shinyhunters
Erik Westhovens van Ransomwared meldt op LinkedIn over deze lek: "Het is bijna weekend. De een maakt zich klaar voor de zondagse voetbal match. De ander gaat een weekendje Texel doen met bezoekje aan Ecomare. Velen onderzoeken hoe ze het nieuwe algoritme van Linkedin weer kunnen omzeilen, Ik verwacht veel fotos die op Tinder niet zouden misstaan. Wanneer komt Linkedin nu met een swipe optie? Maar hackers maken zich weer klaar voor geld verdienen. De Ferrari’s en Lamborghini’s kosten toch een flinke duit. Nu ook Microsoft, Santander en zelfs Cisco te maken heeft gehad met Shinyhunters, en we net over het Sharepoint issue heen zijn zit er nu een forse RCE in hybrid Exchange. Heb je een hybrid Exchange omgeving, dan moet je snel gaan patchen. Maar let op. De patch werkt niet helemaal dus zeg dat weekendje Texel maar af. Dat is geen slim idee."
Meer over Security
Over Witold Kepinski
