Microsoftin Exchange -palvelimen haavoittuvuus mahdollistaa käyttöoikeuksien korottamiseen | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Microsoftin Exchange -palvelimen haavoittuvuus mahdollistaa käyttöoikeuksien korottamiseen

29. tammikuuta 2019 klo 12.55, päivitetty 26. maaliskuuta 2021 klo 14.38

Tietoturvatutkijan löytämä haavoittuvuus Microsoft Exchangessa mahdollistaa käyttöoikeuksien korottamisen jopa toimialueen ylläpitäjän (Domain Admin) -tasolle. Microsoft on julkaissut Exchange-palvelinten ylläpitäjille ohjeet haavoittuvuuden hyväksikäytön estämiseksi. Microsoft julkaisi haavoittuvuuden korjaavan päivityksen 13.2.2019.

Haavoittuvuuden löytänyt tietoturvatutkija kuvaa kirjoituksessaan varsinaisen hyökkäyksen koostuvan kolmesta eri komponentista tai vaiheesta, jotka hyväksikäyttävät Exchangen ominaisuuksia ja tunnettuja NTLM-protokollan heikkouksia. Tutkija julkaisi kirjoituksensa yhteydessä työkaluja, joilla hyökkäys voidaan todentaa. Hyökkäys vaatii sen, että hyökkääjällä on käytössään sähköpostilaatikko hyökkäyksen kohteena olevasta Exchange-järjestelmästä, ja että hyökkääjä voi viestiä Exchange-palvelimen EWS-rajapintaan.

Haavoittuvuuden toimivuus on todennettu Microsoft Exchange Server 2013, 2016 ja 2019 versioilla. Haavoittuvuus ei koske Exchange Onlineä.
 

Päivitys 14.2.2019

Microsoft on julkaissut tuettuihin Exchange-versioihin kumulatiivisia päivityspaketteja 13.2.2019 aikana, ja päivityspaketit korjaavat haavoittuvuuden. Päivitystiedot löytyvät alla mainitusta Microsoft Advisory 190007 -linkistä latauslinkkeineen.

Suosittelemme ensi sijassa päivittämään sovellukset ajantasaisiin versioihin haavoittuvuuden korjaamiseksi.
 

Haavoittuvuuden kohde

  • Exchange 2013
  • Exchange 2016
  • Exchange 2019

Mistä on kysymys?

  • Päivitä Exchange Microsoftin ohjeistuksen mukaisesti
  • Poista Exchange domain-objektilta tarpeettoman korkeat oikeudet
  • Käytä allekirjoitusvarmennetta liikenteen salaamiseen LDAP ja SMB -yhteyksien kanssa
  • Estä Exchange-palvelinta muodostamasta yhteyksiä työasemien satunnaisiin portteihin
  • Poista Exchange Web Service (EWS) push/pull tilaukset (subscriptions) käytöstä, jos ne eivät ole tarpeen

Tarkempia ohjeita rajoituskeinoiksi löytyy seuraavista artikkeleista:

 

Mitä voin tehdä?

vulncoord@traficom.fi

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.

6. helmikuuta 2019 klo 13.26 Lisäsimme viitteen Microsoftin tiedotteeseen haavoittuvuuden rajoituskeinoista.