Exchange-sähköpostipalvelimen kriittinen haavoittuvuus aktiivisen hyväksikäytön kohteena
Varoitus1/2021
Exchange-sähköpostipalvelimen kriittistä haavoittuvuutta käytetään aktiivisesti hyväksi. Korjaavat päivitykset ovat jo olemassa, ja haavoittuvat sähköpostipalvelimet tulee päivittää heti. Lisäksi ylläpitäjien tulee etsiä järjestelmistään viitteitä haavoittuvuuden hyväksikäytöstä. Microsoft kertoo, että nollapäivähaavoittuvuuksia on jo käytetty kohdistettuihin hyökkäyksiin maailmalla. Päivitimme varoituksen 23.3. keltaiseksi ja lopetimme varoituksen voimassaolon 15.4.2021.
Varoitus on päättynyt 15.4.2021.
Exchange-sähköpostipalvelimen kriittistä haavoittuvuutta käytetään aktiivisesti hyväksi. Korjaavat päivitykset ovat jo olemassa, ja haavoittuvat sähköpostipalvelimet tulee päivittää heti. Mikäli organisaatiolla on tai on ollut käytössään haavoittuva Exchange-palvelin, tulee toimenpiteiden lähtökohtana olla se, että organisaatio on hyvin todennäköisesti joutunut tietomurron kohteeksi. Hyökkäyksissä käytetään Exchange-palvelimen porttia 443, eli Outlook Web Access (OWA) -komponenttia.
Microsoft havaitsi ja korjasi useamman nollapäivähaavoittuvuuden, joita käytettiin kohdistetuissa hyökkäyksissä Microsoft Exchange Server -sähköpostipalvelimia kohtaan. Haavoittuvuuksien avulla hyökkääjät pääsivät sähköpostipalvelimen avulla uhrien sähköpostitileille. Tämän jälkeen hyökkääjät ovat asentaneet haittaohjelman, jonka avulla he ovat vahvistaneet jalansijaa uhrin ympäristössä.
Kyberturvallisuuskeskus arvioi, että haavoittuvuutta on jo käytetty ja käytetään edelleen laajasti Suomessa hyväksi hyökkäysten toteuttamiseksi. Mikäli organisaatiolla on tai on ollut käytössään haavoittuva Exchange-palvelin, tulee organisaatiossa toteutettavien toimenpiteiden lähtökohtana olla, se että organisaatio on joutunut onnistuneen tietomurron kohteeksi.
Kyberturvallisuuskeskus kehottaa kaikkia suomalaisia organisaatioita, joilla on haavoittuva Exchange-sähköpostipalvelin, ryhtymään välittömiin toimenpiteisiin haavoittuvuuksien korjaamiseksi sekä hyökkääjien asentamien ns. takaporttien löytämiseksi ja poistamiseksi. Tämän lisäksi organisaatioiden tulee tehdä tietomurtotutkinta. On huomioitava, että pelkkä ohjelmistopäivityksen asentaminen ei riitä pitämään hyökkääjää loitolla.
Viime päivinä on paljastunut merkittävä määrä Microsoft Exchange -sähköpostipalvelimiin tehtyjä tietomurtoja, joiden yhteydessä palvelimelle on asennettu ns. webshell-takaportti. Webshell-takaporttien asentaminen uhrin ympäristöön on ollut yleinen hyökkääjän toimintamalli erityisesti Exchange-palvelimiin kohdistuneiden tietomurtojen yhteydessä jo viime vuodesta lähtien. Hyökkääjien arsenaaliin kuuluu kuitenkin myös lukuisia muita työkaluja, joihin ei tässä ohjeessa tarkemmin paneuduta. Jälkiä maaliskuun alussa korjattujen haavoittuvuuksien CVE- 2021-26855, CVE-2021-26857, CVE-2021-27065 ja CVE-2021-26858 hyväkskäyttöyrityksistä kannattaa etsiä Exchange-sähköpostipalvelimen lokitiedoista Microsoftin ohjeiden mukaisesti (https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/#scan-log (Ulkoinen linkki)).
Varoituksen kohderyhmä
Organisaatioiden johto, ICT-järjestelmien ylläpitäjät.
Ratkaisu- ja rajoitusmahdollisuudet
- Päivitä Exchange-palvelin Microsoftin ohjeiden mukaisesti. Microsoft tarjoaa päivitystasojen tarkastamiseen ilmaisen PowerShell-pohjaisen työkalun (Ulkoinen linkki).
- Päivitysten jälkeen ylläpitäjien kannattaa etsiä järjestelmistään viitteitä haavoittuvuuden hyväksikäytöstä. Kyberturvallisuuskeskuksen ohje 8.3. (Ulkoinen linkki)
Microsoft on listannut ohjeita murtojälkien kartoitukseen (Ulkoinen linkki), jonka lisäksi eri tietoturvatoimijat ovat julkaisseet tapoja etsiä niitä automaattisten työkalujen avulla. Tarjolla on myös Sigma-sääntöjä (Ulkoinen linkki) murtautumisten havainnointiin. Merkkejä väärinkäytöstä voi myös etsiä Yara-säännöillä (Ulkoinen linkki).
Yhdysvaltojen tietoturvaviranomainen CISA on julkaissut ohjeita haavoittuvuuden hyväksikäytön estämiseen sekä havaitsemiseen: Mitigate Microsoft Exchange Server Vulnerabilities (Ulkoinen linkki). Mikäli päivityksiä ei kyetä ajamaan Microsoft OWA-palvelimelle, on Microsoft julkaissut myös haavoittuuvuuksien hyväksikäyttöä rajoittavia keinoja. Ensisijainen korjaus on kuitenkin päivittäminen.
Lisätietoa
Kyberturvallisuuskeskuksen julkaisut:
- Tietoturva nyt! -artikkeli: Päivitimme punaisen varoituksen: Exchange-sähköpostipalvelimen päivitys ei riitä! Varmista, ettei palvelinta ole murrettu ennen päivityksen asentamista.
- Haavoittuvuus 7/2021: Microsoft korjasi kriittisiä haavoittuvuuksia Exchange Serverissä
- Opas: Ohjeita webshell-takaporttien etsimiseen
- Julkaisu: Opas tietomurtojen havaitsemiseen
- Tietoturva nyt! -artikkeli: Muutimme punaisen Exchange-varoituksen keltaiseksi
- Tietoturva nyt! -artikkeli: Poistimme Microsoft Exchange-palvelimen haavoittuvuutta koskevan varoituksen
Tietoturvayhtiöiden julkaisuita:
- Microsoft: New nation-state cyberattacks (Ulkoinen linkki)
- Microsoft: Released: March 2021 Exchange Server Security Updates (Ulkoinen linkki)
- Microsoft: HAFNIUM targeting Exchange Servers with 0-day exploits (Ulkoinen linkki)
- Volexity: Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities (Ulkoinen linkki)
Päivityshistoria
Päivitetty koko varoitus vastaamaan uusia tietoja. Poistettu kokonaan Volexity-tietoturvayhtiön IP-listaus.
Varoitus muutettu punaisesta keltaiseksi - tilanteen rauhoittumisen seurauksena.
Varoitus päättyi 15.4.2021.