Microsoft Defender Antivirus schermt Exchange-gat automatisch af

CVE-2021-26855 is de initiële ingang voor een ketenaanval via de vier zerodays. De kwetsbaarheid laat aanvallers zonder privileges of gebruikersinteractie een onbeveiligde verbinding leggen met de server.

Microsoft heeft Defender Antivirus en System Center Endpoint Protection zijn nu voorzien van nieuwe security-informatie, schrijft ZDNet. Daardoor worden nodige tijdelijke oplossingen voor CVE-2021-26855 automatisch uitgevoerd op kwetsbare Exchange-servers, zonder dat gebruikers hier actief iets voor hoeven te doen. Microsoft Defender Antivirus identificeert automatisch of een server kwetsbaar is. Het afschermen wordt één keer per machine uitgevoerd.

Om het automatische afschermen mogelijk te maken, moet Defender Antivirus wel geüpdatet zijn. Wie automatische updates niet aan heeft staan, wordt geadviseerd om de update handmatig te installeren. Het automatisch mitigeren van de kwetsbaarheid zit verwerkt in builds vanaf 1.333.747.0. 

Veel servers kwetsbaar

Wereldwijd zijn veel servers nog kwetsbaar voor de Exchange-lekken. In Nederland wordt relatief snel gepatcht, maar nog altijd goed voor ongeveer 7,5% van de duizenden servers wereldwijd die kwetsbaar zijn, liet beveiligingsonderzoeker Frank Breedijk van het DIVD eerder aan AG Connect weten. De vrijwilligersorganisatie die op de kwetsbaarheden scant, heeft inmiddels 30.000 notificaties uitgestuurd vanwege kwetsbare servers. Volgens het NCSC zijn de minimaal 1.200 servers waarop de noodpatches nog niet geïnstalleerd zijn vrijwel zeker geïnfecteerd, zo waarschuwde de overheidsorganisatie begin deze week. 

Microsoft bracht begin deze week ook al een mitigation-tool uit om CVE-2021-26855 aan te pakken. De tool is gratis te downloaden en beschermt, scant en probeert het probleem te herstellen. Het is echter geen permanente oplossing. De enige manier om de gaten definitief te dichten, is door de noodpatches te installeren.