Skip to main content
Nu hulp nodig bij een cyberincident?
Bel 24/7: 088-2747800

ProxyRelay kwetsbaarheid

Door 21 oktober 2022 april 9th, 2023 CERT, SOC, Kwetsbaarheid
proxy

Deze liveblog bevat informatie over de ProxyRelay kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 21 oktober 2022.

Update 21 oktober 2022

12:30 | Op 19 oktober 2022 publiceerde Devcore een blog over een Microsoft Exchange Server kwetsbaarheid genaamd ProxyRelay. Dit is de laatste in een reeks van vier, waarvan de eerste drie in augustus 2021 zijn gepubliceerd. De vierde blog is hier te vinden: https://devco.re/blog/2022/10/19/a-new-attack-surface-on-MS-exchange-part-4-ProxyRelay/

De blog over ProxyRelay beschrijft vier kwetsbaarheden. Op dit moment is er nog geen indicatie dat ProxyRelay wordt uitgebuit. Met de details uit de blog is het waarschijnlijk dat er exploits zullen worden ontwikkeld.

Microsoft heeft patches gepubliceerd voor Microsoft Exchange Server 2013, 2016 en 2019 en de ondersteunde Microsoft Windows producten. Het advies is om deze patches tijdens de reguliere, periodieke patchcyclus te installeren.

Momenteel is er nog weinig informatie beschikbaar omtrent ProxyRelay. Deze blog wordt bijgewerkt wanneer er meer informatie beschikbaar komt.

Aanleiding en achtergrond van deze blog

Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.

Kwetsbaarheid informatie

Op 19 oktober 2022 publiceerde Devcore een blog over een Microsoft Exchange Server kwetsbaarheid genaamd ProxyRelay. Dit is de laatste in een reeks van vier, waarvan de eerste drie in augustus 2021 zijn gepubliceerd. De vierde blog is hier te vinden: https://devco.re/blog/2022/10/19/a-new-attack-surface-on-MS-exchange-part-4-ProxyRelay/

De blog over ProxyRelay beschrijft vier kwetsbaarheden. Op dit moment is er nog geen indicatie dat ProxyRelay wordt uitgebuit. Met de details uit de blog is het waarschijnlijk dat er exploits zullen worden ontwikkeld.

Mogelijke risico’s

ProxyRelay is een verzameling van meerdere kwetsbaarheden en kan worden gezien als een aanvalsoppervlak. Op basis van de huidige inzichten is het door het uitbuiten van ProxyRelay mogelijk om authenticatie te omzeilen, toegang te krijgen tot data (zoals bijvoorbeeld e-mails) en code uit te voeren zonder tussenkomst van de gebruiker.

Op dit moment is er nog geen indicatie dat ProxyRelay wordt uitgebuit. Dit wordt ook niet op korte termijn verwacht, maar met de details uit de blog is het waarschijnlijk dat er exploits zullen worden ontwikkeld.

Detail informatie

ProxyRelay bestaat uit vier kwetsbaarheden, waarvan er momenteel drie zijn geregistreerd als CVE:

  • CVE-2021-33768 – Relay to Exchange FrontEnd
  • CVE-2022-21979 – Relay to Exchange BackEnd
  • CVE-2021-26414 – Relay to Exchange DCOM
  • CVE-2022-RESERVED – Relay to other services of Exchange
CVE CVE gepubliceerd CVE laatst gewijzigd CVSS V3 score EPSS score EPSS percentiel
CVE-2021-26414 2021-06-08 2022-09-12 6,5 0,02844 0,82629
CVE-2021-33768 2021-07-14 2022-05-03 8 0,0115 0,5942
CVE-2022-21979 2022-08-09 2022-09-22 5,7 0,0115 0,5942

Table 1 – CVE detailinformatie van 19 oktober 2022

Op basis van de huidige CVSS- en EPSS-scores lijken de kwetsbaarheden op zichzelf niet kritiek. Het is echter de combinatie van de kwetsbaarheden en het ProxyRelay aanvalsoppervlak dat de echte dreiging vormt. Om deze reden meldde Devcore de kwetsbaarheid in juni 2021 bij Microsoft en publiceerde pas ruim een ​​jaar later hun blog.

Microsoft heeft patches uitgebracht als onderdeel van de Exchange Augustus 2022 Security Update voor de volgende versies van Microsoft Exchange Server:

  • Microsoft Exchange Server 2013 CU23
  • Microsoft Exchange Server 2016 CU22 en CU23
  • Microsoft Exchange Server 2019 CU11 en CU12

Daarnaast wordt geadviseerd om de Cumulatieve Updates voor Microsoft Windows van de Microsoft Exchange Server van minimaal juni 2022 toe te passen.

Hoewel het upgraden van een Exchange Server een uitdaging kan zijn, wordt het ten zeerste aanbevolen om de patches toe te passen. Op dit moment is er nog geen indicatie dat ProxyRelay wordt uitgebuit. Met de publicatie van de blog is het waarschijnlijk dat er exploits zullen worden ontwikkeld.

Aanmelden

Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates

Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.

Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.

Close Menu