Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Tunnistautumista vaativa etäkäytön mahdollistava haavoittuvuus Microsoft Exchangessa

Haavoittuvuus14/2022CVSS 8.8

Microsoft Exchange-sähköpostipalvelimessa on havaittu haavoittuvuus, joka mahdollistaa mielivaltaisen koodin suorittamisen. Haavoittuvuutta käytetään aktiivisesti hyväksi. Korjaavia päivityksiä ei toistaiseksi ole saatavilla, eli kyse on niin sanotusta nollapäivähaavoittuvuudesta. Haavoittuvuuden rajoittamiseen on kuitenkin julkaistu keinoja.

Microsoft Exchange -sähköpostipalvelimesta on löydetty haavoittuvuus, joka mahdollistaa tunnistautuneelle käyttäjälle mielivaltaisen koodin suorittamisen. Microsoft on kertonut kahdesta nollapäivähaavoittuvuudesta, joiden CVE-tunnisteet ovat CVE-2022-41040 ja CVE-2022-41082. 

Tämän hetkisten tietojen mukaan haavoittuvuus koskee Exchange-palvelimia, joita ylläpidetään käyttäjien omissa ympäristöissä (OnPrem) ja niiden selainpohjainen käyttäjäympäristö (OWA) on avoinna internet-rajapintaan. Microsoft julkaisi 30.9. aamupäivällä ohjeet haavoittuvuuden hyväksikäytön rajoittamiseksi. Microsoftin tietojen mukaan haavoittuvuuden hyödyntäminen vaatii palvelimelle tunnistautumisen, joka pienentää haavoittuvuuden käytön mahdollisuutta ja lieventää kokonaisriskiä. Varsinaista korjausta ei ole vielä julkaistu. Microsoft päivitti blogiaan 4.10. uusien mitigointikeinojen osalta.

Tavallinen sähköpostin käyttäjä ei voi tehdä mitään estääkseen haavoittuvuuden hyväksikäyttöä, vaan sen ehkäiseminen ja korjaaminen on sähköpostin ylläpitäjän vastuulla. Organisaatioissa korjaustoimenpiteet perinteisesti suorittaa organisaation oma IT-osasto.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä
  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Ongelman rajoittaminen
  • Ei päivitystä

Haavoittuvat ohjelmistot

Microsoft Exchange Server 2013, 2016, ja 2019

Ratkaisu- ja rajoitusmahdollisuudet

Haavoittuuden vaikutusta voi rajata lisäämällä säännön estämään tunnetut hyökkäysmallit.

Haavoittuvuuden vaikutusta voidaan rajata myös estämällä PowerShellin etäkäyttöön liittyvät portit:

  • HTTP: 5985 
  • HTTPS: 5986 

Lisätietoja ja yksityiskohtia haavoittuvuuden rajoittamisesta on saatavilla Microsoftin verkkosivuilla (ulkoinen linkki) (Ulkoinen linkki)

Lisätietoja

CVE-tunnisteet

Microsoft päivitti blogikirjoitustaan 4.10.

Esimerkkikoodi julkaistu