Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Muutimme punaisen Exchange-varoituksen keltaiseksi

Tietoturva Nyt!

Annoimme 3.3.2021 punaisen varoituksen haavoittuvista Exchange-palvelimista. Akuuttivaihe on takana, mutta organisaatioiden, joilla Exchange on tai on ollut käytössä, tulee tehdä tietoturvatutkinta.

""

Exchange-palvelimien haavoittuvuus

Kyberturvallisuuskeskus julkaisi 3.3.2021 Microsoftin Exchange -haavoittuvuutta koskevan vakavimman luokan punaisen varoituksen. Exchange-palvelimesta löydettiin seitsemän eri haavoittuvuutta. Microsoftin oman tiedotteen mukaan neljää haavoittuvuutta oli käytetty jo hyväksi.

Haavoittuvuuksia hyväksikäyttäen hyökkääjät ovat päässet sähköpostipalvelimien kautta uhrien sähköpostitileille. Tämän jälkeen hyökkääjät ovat asentaneet haittaohjelman, jonka avulla he ovat vahvistaneet jalansijaa uhrin ympäristössä.

Varoituksen laskeminen punaisesta keltaiseksi

Havaitsimme maaliskuun alussa, että haavoittuvuus koskettaa satoja suomalaisia organisaatiota. Lisäksi löysimme kartoituksen perusteella kymmeniä organisaatioita, joissa oli epäily tietomurrosta. Kyberturvallisuuskeskus on ollut yhteydessä kartoituksen perusteella löytyneisiin organisaatioihin. Lisäksi organisaatiot itse ovat olleet meihin yhteydessä.

Tämän hetken arviomme mukaan akuuttivaihe on ohi, minkä vuoksi laskemme varoituksen punaisesta keltaiseksi. Exchange-haavoittuvuus koskee organisaatioita ja toimenpiteitä odotetaan erityisesti organisaatioiden johdolta sekä ICT-järjestelmien ylläpitäjiltä. Yksittäisten käyttäjien ei tarvitse ryhtyä toimenpiteisiin.

Suuri osa organisaatioista on tehnyt päivitykset haavoittuviin palvelimiin sekä aloittanut tietoturvatutkinnan tekemisen. Tämä näkyy myös tekemistämme kartoituksista, joissa haavoittuvien palvelimien määrä on laskenut. Olemme lisäksi tehneet organisaatioiden tueksi ohjeen webshell-takaporttien-etsimiseen (Ulkoinen linkki), jonka avulla ne voivat tehdä tietoturvatutkinnan joko sisäisesti tai yhdessä palveluntarjoajan kanssa.

Mitä mahdollisesti seuraavaksi?

Maailmalla on nähty DearCry-kiristyshaittaohjelmatartuntoja (Ulkoinen linkki), joiden on tunnistettu liittyvän haavoittuviin Exchange-palvelimiin.

Tämän hetken arviomme mukaan kiristyshaittaohjelmahyökkäysten yritykset saattavat näkyä myös Suomessa. Suomalaiset organisaatiot ovat aloittaneet korjaavat toimenpiteet haavoittuneille ja murretuille palvelimille, mikä ennaltaehkäisee myös kiristyshaittaohjelmahyökkäyksiä.