De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en de National Security Agency (NSA) hebben samen met internationale partners uit Australië en Canada richtlijnen uitgebracht om lokale Microsoft Exchange Server-instances te beschermen tegen mogelijke exploitatie.
“Door de administratieve toegang te beperken, multi-factor authenticatie te implementeren, strikte transportbeveiligingsconfiguraties af te dwingen en de principes van het Zero Trust (ZT)-beveiligingsmodel aan te nemen, kunnen organisaties hun verdediging tegen potentiële cyberaanvallen aanzienlijk versterken”, aldus CISA.
De agentschappen zeiden dat kwaadaardige activiteiten gericht op Microsoft Exchange Server nog steeds plaatsvinden, waarbij onbeschermde en verkeerd geconfigureerde instanties het zwaarst te lijden hebben onder de aanvallen. Organisaties wordt geadviseerd om end-of-life on-premises of hybride Exchange-servers buiten gebruik te stellen na de overstap naar Microsoft 365.
Hieronder vindt u een aantal van de beste praktijken die worden beschreven:
- Onderhoud beveiligingsupdates en patchfrequentie
- Migreer verouderde Exchange-servers
- Zorg ervoor dat de Exchange Emergency Mitigation Service ingeschakeld blijft
- Pas de Exchange Server-basislijn, de Windows-beveiligingsbasislijnen en de toepasselijke beveiligingsbasislijnen voor e-mailclients toe en onderhoud deze
- Schakel een antivirusoplossing, Windows Antimalware Scan Interface (AMSI), Attack Surface Reduction (ASR) en AppLocker en App Control for Business, Endpoint Detection and Response en de antispam- en antimalwarefuncties van Exchange Server in
- Beperk de beheerderstoegang tot het Exchange Admin Center (EAC) en externe PowerShell en pas het principe van de minste bevoegdheden toe
- Verbeter authenticatie en encryptie door Transport Layer Security (TLS), HTTP Strict Transport Security (HSTS), Extended Protection (EP), Kerberos en Server Message Block (SMB) te configureren in plaats van NTLM, en multi-factor authenticatie
- Schakel externe PowerShell-toegang uit voor gebruikers in de Exchange Management Shell (EMS)
“Het beveiligen van Exchange-servers is essentieel voor het behoud van de integriteit en vertrouwelijkheid van bedrijfscommunicatie en -functies”, merkten de agentschappen op. “Het voortdurend evalueren en versterken van de cyberbeveiliging van deze communicatieservers is van cruciaal belang om de evoluerende cyberdreigingen voor te blijven en een robuuste bescherming van Exchange te garanderen als onderdeel van de operationele kern van veel organisaties.”
CISA werkt waarschuwing CVE-2025-59287 bij
De richtlijnen komen een dag nadat CISA zijn waarschuwing heeft bijgewerkt met aanvullende informatie met betrekking tot CVE-2025-59287, een onlangs opnieuw gepatchte beveiligingsfout in de Windows Server Update Services (WSUS)-component die zou kunnen leiden tot uitvoering van externe code.
Het bureau beveelt organisaties aan servers te identificeren die vatbaar zijn voor misbruik, de out-of-band beveiligingsupdate van Microsoft toe te passen en tekenen van bedreigingsactiviteit op hun netwerken te onderzoeken –
- Bewaak en controleer verdachte activiteiten en onderliggende processen die zijn voortgebracht met machtigingen op SYSTEEMniveau, met name die welke afkomstig zijn van wsusservice.exe en/of w3wp.exe
- Bewaak en controleer geneste PowerShell-processen met behulp van base64-gecodeerde PowerShell-opdrachten
De ontwikkeling volgt op een rapport van Sophos dat bedreigingsactoren de kwetsbaarheid misbruiken om gevoelige gegevens te verzamelen van Amerikaanse organisaties uit een reeks sectoren, waaronder universiteiten, technologie, productie en gezondheidszorg. De exploitatieactiviteit werd voor het eerst gedetecteerd op 24 oktober 2025, een dag nadat Microsoft de update had uitgebracht.
Bij deze aanvallen bleken de aanvallers kwetsbare Windows WSUS-servers te gebruiken om Base64-gecodeerde PowerShell-opdrachten uit te voeren en de resultaten naar een webhook(.)site-eindpunt te exfiltreren, wat andere rapporten van Darktrace, Huntress en Palo Alto Networks Unit 42 bevestigt.
Het cyberbeveiligingsbedrijf vertelde The Hacker News dat het tot nu toe zes incidenten in zijn klantomgevingen heeft geïdentificeerd, hoewel verder onderzoek minstens 50 slachtoffers heeft geïdentificeerd.
“Deze activiteit laat zien dat bedreigingsactoren snel actie hebben ondernomen om deze kritieke kwetsbaarheid in WSUS te misbruiken om waardevolle gegevens van kwetsbare organisaties te verzamelen”, vertelde Rafe Pilling, directeur dreigingsinformatie bij Sophos Counter Threat Unit, in een verklaring aan The Hacker News.
“Het is mogelijk dat dit een eerste test- of verkenningsfase was en dat aanvallers nu de verzamelde gegevens analyseren om nieuwe mogelijkheden voor inbraak te identificeren. We zien op dit moment geen verdere massale uitbuiting, maar het is nog vroeg, en verdedigers moeten dit als een vroege waarschuwing beschouwen. Organisaties moeten ervoor zorgen dat hun systemen volledig zijn gepatcht en dat WSUS-servers veilig zijn geconfigureerd om het risico op uitbuiting te verminderen.”
Michael Haag, hoofdonderzoeksingenieur op het gebied van bedreigingen bij Splunk, eigendom van Cisco, merkte in een bericht op X op dat CVE-2025-59287 “dieper gaat dan verwacht” en dat ze een alternatieve aanvalsketen hebben gevonden waarbij het binaire bestand Microsoft Management Console (“mmc.exe”) wordt gebruikt om de uitvoering van “cmd.exe” te activeren wanneer een beheerder de WSUS Admin Console opent of op “Reset Server Node” klikt.
“Dit pad veroorzaakt een crash van het 7053 Event Log”, merkte Haag op, en voegde eraan toe dat het overeenkomt met de stacktrace die door Huntress werd opgemerkt op “C:Program FilesUpdate ServicesLogfilesSoftwareDistribution.log.”
