Több tízezer sebezhető Microsoft Exchange e-mail szerver érhető el az internet irányából, amelyek távoli kódfuttatást lehetővé tévő hibáktól szenvednek. Az oka az, hogy ezeken a szervereken régi, már nem támogatott verziók futnak, amelyek semmilyen frissítést nem kapnak. A hibák között található kritikus súlyosságú. A Shadowserver nonprofit kiberbiztonsági csoport felmérése szerint majdnem 20 000 Exchange szerver érintett, ezeknek több mint a fele európai, 6000 amerikai és 2200 ázsiai. A magyarországi érintettség körülbelül 100 szerverre tehető.
Egy másik, Macnica security kutatója által végzett felmérés szerint a veszélyeztetett szerverek száma sokkalta nagyobb, mintegy 30 000-re tehető. A Shodan-ban végzett szkennelések eredménye szerint:
275 db 2007-es, 4062 db 2010-es, és 26 298 db 2013-as Exchange Server érintett.
A hibák a következő kódokon nyomon követhetők:
-
- CVE-2020-0688
- CVE-2021-26855 – más néven ProxyLogon
- CVE-2021-27065
- CVE-2022-41082
- CVE-2023-21529
- CVE-2023-36745
- CVE-2023-36439
Ezek közül kiemelendő a CVE-2021-26855 (ProxyLogon), és a CVE-2021-27065 melyek együttesen kihasználva távoli kódfuttatásra adnak lehetőséget. A ProxyLogonon kívül a többi sebezhetőség egyébként nem kritikus, bár a Microsoft mindegyiket fontosnak nyilvánította.
Az élet/támogatási ciklusuk végét elérő verzióknál az egyetlen biztonságos megoldás a támadások elkerülése érdekében az újabb verzióra való átállás.
