Microsoft korjasi kriittisiä haavoittuvuuksia Exchange Serverissä

Haavoittuvuus7/2021CVSS 9.1

Microsoft tiedotti Exchange-sähköpostipalvelimen kriittisistä haavoittuvuuksista ja julkaisi samalla korjaavat päivitykset. Microsoft kertoo, että nollapäivähaavoittuvuuksia on jo käytetty kohdistettuihin hyökkäyksiin maailmalla. Julkitulon vuoksi haavoittuvuuksien hyväksikäyttö tulee todennäköisesti vain lisääntymään, joten palvelimet tulee päivittää heti.

Microsoft havaitsi ja korjasi useamman nollapäivähaavoittuvuuden, joita käytettiin kohdistetuissa hyökkäyksissä Microsoft Exchange Server -sähköpostipalvelimia kohtaan. Haavoittuvuuksien avulla hyökkääjät pääsivät sähköpostipalvelimen avulla uhrien sähköpostitileille. Tämän jälkeen hyökkääjät ovat asentaneet haittaohjelman, jonka avulla he ovat vahvistaneet jalansijaa uhrin ympäristössä. 

Hyökkäyksissä käytetään Exchange-palvelimen porttia 443, eli Outlook Web Access (OWA) -komponenttia. Onkin suositeltavaa rajoittaa yhteyksiä ulkoa palvelimelle tai konfiguroida VPN erottamaan Exchange-palvelin ulkopuolisilta yhteyksiltä. 

Sivuillaan Microsoft kertoo haavoittuvuutta hyväksikäyttäneen tahon olevan heidän kutsumanimeltään Hafnium. Microsoftin mukaan Hafnium on erittäin taitava Kiinalainen toimija, jonka hyökkäysten tavoitteena ovat olleet eri kohteet Yhdysvalloissa. Microsoftin mukaan nämä kyseiset Hafniumin hyväksikäyttämät haavoittuvuudet eivät koske heidän muita tuotteitaan. Julkaisussaan he myös korostavat, ettei SolarWinds-haavoittuvuuksilla ole tekemistä näiden Exchange-haavojen kanssa.

Microsoft tarjoaa julkaisuissaan myös tapoja selvittää, että onko organisaatio jo joutunut haavoittuvuuksien hyväksikäyttöyritysten kohteeksi.

Tietoturvayhtiö Volexity kertoo julkaisussaan (Ulkoinen linkki)(ulkoinen linkki), että haavoittuvuuksien hyväksikäyttö on mahdollisesti alkanut jo tammikuussa 2021. 

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Microsoft Exchange Server 2013  
Microsoft Exchange Server 2016  
Microsoft Exchange Server 2019

Haavoittuvuus ei koske Exchange Online -tuotetta.

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä Microsoft Exchange Server -tuotteet uusimmilla turvallisuuspäivityksillä välittömästi. Microsoft tarjoaa päivitysohjeet (Ulkoinen linkki) ja kuvauksen päivityksistä (Ulkoinen linkki). Microsoft on julkaissut päivityksiä myös vanhempiin Exchangen versioihin, jotka eivät enää ole virallisesti tuettuja (Ulkoinen linkki).

Lisätietoja

Lisätietoa haavoittuvuuksista löydät alla olevista linkeistä.

Lisätty: Microsoft tarjoaa julkaisuissaan myös tapoja selvittää, että onko organisaatio jo joutunut haavoittuvuuksien hyväksikäyttöyritysten kohteeksi.

Uusi linkki: March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server

Lisätty linkkejä ohjeisiin ja Microsoftin haavoittuvuustiedotteisiin.