Microsoft korjasi kriittisiä haavoittuvuuksia Exchange Serverissä
Haavoittuvuus7/2021CVSS 9.1
Microsoft tiedotti Exchange-sähköpostipalvelimen kriittisistä haavoittuvuuksista ja julkaisi samalla korjaavat päivitykset. Microsoft kertoo, että nollapäivähaavoittuvuuksia on jo käytetty kohdistettuihin hyökkäyksiin maailmalla. Julkitulon vuoksi haavoittuvuuksien hyväksikäyttö tulee todennäköisesti vain lisääntymään, joten palvelimet tulee päivittää heti.
Microsoft havaitsi ja korjasi useamman nollapäivähaavoittuvuuden, joita käytettiin kohdistetuissa hyökkäyksissä Microsoft Exchange Server -sähköpostipalvelimia kohtaan. Haavoittuvuuksien avulla hyökkääjät pääsivät sähköpostipalvelimen avulla uhrien sähköpostitileille. Tämän jälkeen hyökkääjät ovat asentaneet haittaohjelman, jonka avulla he ovat vahvistaneet jalansijaa uhrin ympäristössä.
Hyökkäyksissä käytetään Exchange-palvelimen porttia 443, eli Outlook Web Access (OWA) -komponenttia. Onkin suositeltavaa rajoittaa yhteyksiä ulkoa palvelimelle tai konfiguroida VPN erottamaan Exchange-palvelin ulkopuolisilta yhteyksiltä.
Sivuillaan Microsoft kertoo haavoittuvuutta hyväksikäyttäneen tahon olevan heidän kutsumanimeltään Hafnium. Microsoftin mukaan Hafnium on erittäin taitava Kiinalainen toimija, jonka hyökkäysten tavoitteena ovat olleet eri kohteet Yhdysvalloissa. Microsoftin mukaan nämä kyseiset Hafniumin hyväksikäyttämät haavoittuvuudet eivät koske heidän muita tuotteitaan. Julkaisussaan he myös korostavat, ettei SolarWinds-haavoittuvuuksilla ole tekemistä näiden Exchange-haavojen kanssa.
Microsoft tarjoaa julkaisuissaan myös tapoja selvittää, että onko organisaatio jo joutunut haavoittuvuuksien hyväksikäyttöyritysten kohteeksi.
Tietoturvayhtiö Volexity kertoo julkaisussaan (Ulkoinen linkki)(ulkoinen linkki), että haavoittuvuuksien hyväksikäyttö on mahdollisesti alkanut jo tammikuussa 2021.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
Haavoittuvuus ei koske Exchange Online -tuotetta.
Mistä on kysymys?
Päivitä Microsoft Exchange Server -tuotteet uusimmilla turvallisuuspäivityksillä välittömästi. Microsoft tarjoaa päivitysohjeet (Ulkoinen linkki) ja kuvauksen päivityksistä (Ulkoinen linkki). Microsoft on julkaissut päivityksiä myös vanhempiin Exchangen versioihin, jotka eivät enää ole virallisesti tuettuja (Ulkoinen linkki).
Mitä voin tehdä?
Lisätietoa haavoittuvuuksista löydät alla olevista linkeistä.
Lisätty: Microsoft tarjoaa julkaisuissaan myös tapoja selvittää, että onko organisaatio jo joutunut haavoittuvuuksien hyväksikäyttöyritysten kohteeksi.
Uusi linkki: March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server
Lisätty linkkejä ohjeisiin ja Microsoftin haavoittuvuustiedotteisiin.