Microsoft korjasi kriittisiä haavoittuvuuksia Exchange Serverissä | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Microsoft korjasi kriittisiä haavoittuvuuksia Exchange Serverissä

3. maaliskuuta 2021 klo 9.57, päivitetty 10. maaliskuuta 2021 klo 14.05

Microsoft tiedotti Exchange-sähköpostipalvelimen kriittisistä haavoittuvuuksista ja julkaisi samalla korjaavat päivitykset. Microsoft kertoo, että nollapäivähaavoittuvuuksia on jo käytetty kohdistettuihin hyökkäyksiin maailmalla. Julkitulon vuoksi haavoittuvuuksien hyväksikäyttö tulee todennäköisesti vain lisääntymään, joten palvelimet tulee päivittää heti.

Microsoft havaitsi ja korjasi useamman nollapäivähaavoittuvuuden, joita käytettiin kohdistetuissa hyökkäyksissä Microsoft Exchange Server -sähköpostipalvelimia kohtaan. Haavoittuvuuksien avulla hyökkääjät pääsivät sähköpostipalvelimen avulla uhrien sähköpostitileille. Tämän jälkeen hyökkääjät ovat asentaneet haittaohjelman, jonka avulla he ovat vahvistaneet jalansijaa uhrin ympäristössä. 

Hyökkäyksissä käytetään Exchange-palvelimen porttia 443, eli Outlook Web Access (OWA) -komponenttia. Onkin suositeltavaa rajoittaa yhteyksiä ulkoa palvelimelle tai konfiguroida VPN erottamaan Exchange-palvelin ulkopuolisilta yhteyksiltä. 

Sivuillaan Microsoft kertoo haavoittuvuutta hyväksikäyttäneen tahon olevan heidän kutsumanimeltään Hafnium. Microsoftin mukaan Hafnium on erittäin taitava Kiinalainen toimija, jonka hyökkäysten tavoitteena ovat olleet eri kohteet Yhdysvalloissa. Microsoftin mukaan nämä kyseiset Hafniumin hyväksikäyttämät haavoittuvuudet eivät koske heidän muita tuotteitaan. Julkaisussaan he myös korostavat, ettei SolarWinds-haavoittuvuuksilla ole tekemistä näiden Exchange-haavojen kanssa.

Microsoft tarjoaa julkaisuissaan myös tapoja selvittää, että onko organisaatio jo joutunut haavoittuvuuksien hyväksikäyttöyritysten kohteeksi.

Tietoturvayhtiö Volexity kertoo julkaisussaan(ulkoinen linkki), että haavoittuvuuksien hyväksikäyttö on mahdollisesti alkanut jo tammikuussa 2021. 

Haavoittuvuuden kohde

Microsoft Exchange Server 2013  
Microsoft Exchange Server 2016  
Microsoft Exchange Server 2019

Haavoittuvuus ei koske Exchange Online -tuotetta.

Mistä on kysymys?

Päivitä Microsoft Exchange Server -tuotteet uusimmilla turvallisuuspäivityksillä välittömästi. Microsoft tarjoaa päivitysohjeet ja kuvauksen päivityksistä. Microsoft on julkaissut päivityksiä myös vanhempiin Exchangen versioihin, jotka eivät enää ole virallisesti tuettuja.

Mitä voin tehdä?

Lisätietoa haavoittuvuuksista löydät alla olevista linkeistä.

Microsoft: New nation-state cyberattacks
Microsoft: Released: March 2021 Exchange Server Security Updates (ulkoinen linkki)
Microsoft: HAFNIUM targeting Exchange Servers with 0-day exploits
Volexity: Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities (ulkoinen linkki)
Microsoft: March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server (ulkoinen linkki)
Ohjeita webshell-takaporttien etsimiseen
Finding Proxylogon and Related Microsoft Exchange Vulnerabilities
Alert (AA21-062A) Mitigate Microsoft Exchange Server Vulnerabilities
Exchange-sähköpostipalvelimen kriittinen haavoittuvuus aktiivisen hyväksikäytön kohteena
CVE-2021-27065 - Microsoft Exchange Server Remote Code Execution Vulnerability
CVE-2021-26858 - Microsoft Exchange Server Remote Code Execution Vulnerability
CVE-2021-26857 - Microsoft Exchange Server Remote Code Execution Vulnerability
CVE-2021-26855 - Microsoft Exchange Server Remote Code Execution Vulnerability
Released: March 2021 Exchange Server Security Updates
GovCERT.ch: Exchange Vulnerability 2021
Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: March 2, 2021 (KB5000871)
Microsoftin ohjeet Exchangen versioihin, jotka eivät ole enää virallisesti tuettuja

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

3. maaliskuuta 2021 klo 10.32 Lisätty: Microsoft tarjoaa julkaisuissaan myös tapoja selvittää, että onko organisaatio jo joutunut haavoittuvuuksien hyväksikäyttöyritysten kohteeksi.