Rapport: 92 procent van de Microsoft Exchange-servers is nu beschermd tegen ProxyLogon

Microsoft meldt dat ongeveer 92 procent van alle Microsoft Exchange-servers nu is bijgewerkt en beveiligd tegen de ProxyLogon-kwetsbaarheid die de service - en beveiligingsonderzoeks- en responsteams - heeft geteisterd weken.

Het aantal niet-gepatchte Microsoft Exchange-servers bedraagt ​​ongeveer 30.000, een daling van een maximum van ongeveer 400.000.

Enorme vermindering van kwetsbare Microsoft Exchange-servers

Een exact totaal aantal kwetsbare Microsoft Exchange-servers is niet bekend.

Echter, op 2 maart, toen Microsoft de eerste set beveiligingspatches uitbracht, waren ongeveer 400.000 Exchange Servers kwetsbaar voor de ProxyLogon-kwetsbaarheid. Een week nadat de beveiligingspatches waren gelanceerd en geïmplementeerd, op 9 maart, was dat aantal gedaald tot ongeveer 100.000 niet-gepatchte servers.

Nu geeft het laatste rapport van Microsoft aan dat er minder dan 30.000 kwetsbare Exchange-servers over zijn.

Sinds die tweet is het aantal waarschijnlijk verder afgenomen.

Microsoft heeft substantiële maatregelen genomen om de kwetsbare Microsoft Exchange-servers te beschermen in het licht van de aanhoudende kwetsbaarheid van ProxyLogon. De Exchange On-Premises Mitigation Tool (EOMT) is bijvoorbeeld een ProxyLogon-patching met één klik tool die het voor klanten van Microsoft Exchange Server gemakkelijker maakt om hun infrastructuur.

Verwant: Microsoft lanceert Single-Click Exchange Server Fix

Microsoft heeft ook een automatische patch-tool Microsoft Defender toegevoegd. Volgens een bericht op de officiële Microsoft Security-blog, zullen klanten die Microsoft Defender Antivirus en System Center Endpoint Protection gebruiken "automatisch verzachten CVE-2021-26855 op elke kwetsbare Exchange Server waarop deze is geïmplementeerd. "

Verwant: Microsoft Defender kan nu automatisch misbruik van Exchange Server voorkomen

Is dit het einde van ProxyLogon?

ProxyLogon is een serieus probleem geweest voor Microsoft's Exchange Server-klanten. De aanval heeft tienduizenden servers getroffen, die bedrijven in alle soorten en maten omvatten.

De ProxyLogon-kwetsbaarheid bracht vier zero-day-exploits samen om Microsoft Exchange-servers aan te vallen. Na de onthulling van het beveiligingslek meldden meerdere industrieën over de hele wereld een golf van aanvallen met Microsoft Exchange Server klanten die cryptocurrency mining-malware melden, verschillende soorten ransomware, webshells en meer die allemaal worden ingezet door kwaadwillende feesten.

Een ESET Research blogpost ontdekte dat Microsoft Exchange-servers werden aangevallen door "ten minste 10 APT [Advanced Persistent Threat] -groepen", die allemaal probeerden te profiteren van de kwetsbaarheid.

We hebben gemerkt dat de kwetsbaarheden werden gebruikt door andere bedreigingsactoren, te beginnen met Tick en al snel vergezeld door LuckyMouse, Calypso en de Winnti Group. Dit suggereert dat meerdere bedreigingsactoren toegang hebben gekregen tot de details van de kwetsbaarheden voordat de patch, wat betekent dat we de mogelijkheid kunnen negeren dat ze een exploit hebben gebouwd door Microsoft reverse engineering updates.

De kwetsbaarheid van ProxyLogon is nog niet helemaal voorbij. Er zijn nog steeds meer dan 20.000 kwetsbare Microsoft Exchange-servers, maar zowel klanten als beveiligingsbedrijven hopen dat het einde in zicht is.

Homeland Security verklaart Microsoft Exchange-aanval "Emergency"

Microsoft zet de aanval vast op een bedreigingsacteur van een nationale staat.

Lees Volgende

Over de auteur