Tunnistautumista vaativa etäkäytön mahdollistava haavoittuvuus Microsoft Exchangessa

Päivitys 22.12.2022:

Tietoturvatutkijat ovat löytäneet uuden ja aktiivisesti hyödynnetyn hyväksikäyttötavan. Aiemmin Microsoftin suosittama haavoittuvuuden rajoituskeino ei estä tätä uusinta hyväksikäyttötapaa ja  mahdollistava esimerkkitoteutus (PoC) on julkisesti saatavilla. Kyberturvallisuuskeskus suosittelee Microsoftin päivityksien asentamista. Microsoftin päivitys KB5019758 (julkaistu 08.11.2022 Microsoftin tiedote ) korjaa nämä haavoittuvuudet (CVE-2022-41040, CVE-2022-41082 ja CVE-2022-41080).

----

Alkuperäinen tiedote: 17.11.2022

Microsoft Exchange -sähköpostipalvelimesta on löydetty haavoittuvuus, joka mahdollistaa tunnistautuneelle käyttäjälle mielivaltaisen koodin suorittamisen. Microsoft on kertonut kahdesta nollapäivähaavoittuvuudesta, joiden CVE-tunnisteet ovat CVE-2022-41040 ja CVE-2022-41082. 

Tämän hetkisten tietojen mukaan haavoittuvuus koskee Exchange-palvelimia, joita ylläpidetään käyttäjien omissa ympäristöissä (OnPrem) ja niiden selainpohjainen käyttäjäympäristö (OWA) on avoinna internet-rajapintaan. Microsoft julkaisi 30.9. aamupäivällä ohjeet haavoittuvuuden hyväksikäytön rajoittamiseksi. Microsoftin tietojen mukaan haavoittuvuuden hyödyntäminen vaatii palvelimelle tunnistautumisen, joka pienentää haavoittuvuuden käytön mahdollisuutta ja lieventää kokonaisriskiä. Varsinaista korjausta ei ole vielä julkaistu. Microsoft päivitti blogiaan 4.10. uusien mitigointikeinojen osalta.

Tavallinen sähköpostin käyttäjä ei voi tehdä mitään estääkseen haavoittuvuuden hyväksikäyttöä, vaan sen ehkäiseminen ja korjaaminen on sähköpostin ylläpitäjän vastuulla. Organisaatioissa korjaustoimenpiteet perinteisesti suorittaa organisaation oma IT-osasto.