CISA en de NSA hebben richtlijnen uitgebracht om IT-beheerders te helpen Microsoft Exchange-servers te beveiligen tegen aanvallen. Aanbevolen best practices zijn onder andere een verbeterde gebruikersauthenticatie, het minimaliseren van aanvalsvlakken van applicaties en sterke netwerkversleuteling.

De agentschappen raden ook aan om verouderde on-premise of hybride Exchange-servers na de overgang naar Microsoft 365 uit te faseren. Het behouden van een niet-geüpdatete Exchange-server kan bedrijven kwetsbaar maken voor aanvallen en de kans op veiligheidsinbreuken vergroten.

Hoewel het niet expliciet door CISA en de NSA wordt besproken, zijn het monitoren van kwaadaardige activiteiten en plannen voor incidentherstel even belangrijk bij het verminderen van risico’s van on-premise Exchange-servers.

“Door administratieve toegang te beperken, multifactorauthenticatie toe te passen, strikte transportbeveiligingsconfiguraties te implementeren, en zero trust-principes te omarmen, kunnen organisaties hun verdediging tegen potentiële cyberaanvallen aanzienlijk versterken,” aldus de agentschappen, samen met het Australian Cyber Security Centre en het Canadian Centre for Cyber Security.

“Bovendien, nu bepaalde versies van Exchange Server niet langer worden ondersteund, raden de auteurs organisaties sterk aan proactieve stappen te ondernemen om risico’s te verminderen en kwaadaardige activiteit te voorkomen.”

CISA, de NSA en hun partners hebben meer dan een dozijn belangrijke beveiligingsaanbevelingen gedeeld, waaronder het up-to-date houden van servers, het migreren van niet-ondersteunde Exchange-versies, nooddiensten inschakelen, ingebouwde anti-spam- en anti-malwarefuncties activeren, administratieve toegang beperken tot geautoriseerde werkstations, en beveiligingsstandaarden implementeren voor zowel Exchange Server als Windows-systemen.

Ze bevelen ook aan de authenticatie te versterken door MFA, Modern Auth en OAuth 2.0 te gebruiken, Kerberos en SMB in te zetten in plaats van NTLM, en Transport Layer Security te configureren om gegevensintegriteit te beschermen. Uitgebreide bescherming biedt verdediging tegen Adversary-in-the-Middle-aanvallen.

Bedrijven zouden ook certificaatgebaseerd ondertekenen voor de Exchange Management Shell moeten inschakelen en HTTP Strict Transport Security moeten implementeren voor veilige browserverbindingen. Daarnaast moet toegangscontrole op basis van rollen worden toegepast, Download Domains configureren om Cross-Site Request Forgery-aanvallen te blokkeren, en monitoring uitvoeren om pogingen tot header-manipulatie in P2 FROM te detecteren om spoofing te voorkomen.

De gezamenlijke aanbeveling bouwt voort op een noodrichtlijn van CISA uit augustus 2025, waarin overheidsinstanties werden opgedragen om hun systemen binnen vier dagen te beveiligen tegen een ernstige Microsoft Exchange-kwetsbaarheid (CVE-2025-53786).

Microsoft waarschuwde destijds dat de kwetsbaarheid impact had op Microsoft Exchange Server 2016, 2019, en de Subscription Edition, waardoor aanvallers die administratieve toegang tot on-premise Exchange-servers verdienen, lateraal kunnen bewegen naar Microsoft-cloudomgevingen, mogelijk leidend tot volledige domeincompromittering.

Kort nadat CISA overheidsinstanties opdroeg hun servers te patchen, ontdekte Internettoezichthouder Shadowserver dat meer dan 29.000 Exchange-servers nog steeds kwetsbaar waren voor mogelijke CVE-2025-53786-aanvallen.

In recente jaren hebben door staten gesteunde en financieel gemotiveerde hackersgroepen meerdere Exchange-kwetsbaarheden uitgebuit, waaronder de ProxyShell- en ProxyLogon-zero-daykwetsbaarheden. In maart 2021 maakten ten minste tien hackersgroepen gebruik van de ProxyLogon-kwetsbaarheden, waaronder de beruchte Silk Typhoon, een door China gesteunde dreigingsgroep.

Afgelopen dinsdag waarschuwde ook het Computer Emergency Response Team voor Duitse federale autoriteiten (CERT-Bund) dat 92% van ongeveer 33.000 on-premise Exchange-servers in Duitsland die online zijn blootgesteld, verouderde versies draaien.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.