Het aantal gebruikers dat is aangevallen door exploits gericht op kwetsbaarheden in Microsoft Exchange-servers, geblokkeerd door Kaspersky-producten, is in augustus met 170% gegroeid van 7.342 naar 19.839 gebruikers. In Nederland ging het in de periode van maart tot en met augustus dit jaar om in totaal 928 gebruikers.
Volgens Kaspersky-experts houdt deze schrikbarende groei verband met het toenemende aantal aanvallen dat misbruik probeert te maken van eerder bekendgemaakte kwetsbaarheden in het product, en het feit dat gebruikers kwetsbare software niet meteen patchen, waardoor het potentiële aanvalsoppervlak groter wordt.
Kwetsbaarheden in Microsoft Exchange Server hebben dit jaar voor veel chaos gezorgd. Op 2 maart 2021 werd het publiek op de hoogte gebracht van 'in-the-wild' exploitaties van zero-day kwetsbaarheden in Microsoft Exchange Server, die vervolgens werden uitgebuit in een golf van aanvallen op organisaties wereldwijd. Later in het jaar patchte Microsoft ook een reeks van de zogenaamde ProxyShell-kwetsbaarheden - CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Samen vormen deze kwetsbaarheden een kritieke bedreiging en stellen ze een hacker in staat om authenticatie te omzeilen en code uit te voeren als een geautoriseerde gebruiker. Hoewel de patches voor deze kwetsbaarheden al enige tijd geleden zijn uitgebracht, aarzelden cybercriminelen niet om er misbruik van te maken. In de afgelopen zes maanden zijn 74.274 Kaspersky-gebruikers op exploits voor MS Exchange-kwetsbaarheden gestuit.
Bovendien waarschuwde de Cybersecurity and Infrastructure Security Agency (CISA) in de VS op 21 augustus dat ProxyShell-kwetsbaarheden nu actief worden misbruikt door cybercriminelen in een recente golf van aanvallen. In het op 26 augustus gepubliceerde advies legt Microsoft uit dat een Exchange-server kwetsbaar is als er geen Cumulative Update (CU) op draait met ten minste de Security Update (SU) van mei.
Volgens de uitgelezen resultaten van Kaspersky werden in de laatste week van de zomer dagelijks meer dan 1.700 gebruikers aangevallen met ProxyShell-exploits, waardoor het aantal aangevallen gebruikers in augustus 2021 met 170% is gestegen ten opzichte van juli 2021. Dit weerspiegelt het grootschalige probleem dat deze kwetsbaarheden vormen, als ze ongepatcht blijven.
Evgeny Lopatin, Security Researcher bij Kaspersky: "Het feit dat deze kwetsbaarheden actief worden misbruikt, komt niet als een verrassing. Vaak vormen 1-day kwetsbaarheden, de kwetsbaarheden die al bekend zijn gemaakt en waarvan de ontwikkelaars patches hebben uitgebracht, een nog grotere bedreiging. Dit omdat ze bekend zijn bij een breder scala aan cybercriminelen die hun geluk beproeven bij het binnendringen in elk netwerk waar ze hun handen op kunnen krijgen. Deze actieve toename van aanvallen toont wederom aan waarom het zo essentieel is om kwetsbaarheden zo snel mogelijk te patchen zodat netwerken niet worden gecompromitteerd. We raden ten zeerste aan om het meest recente advies van Microsoft op te volgen om eventuele grotere risico's te beperken".
