Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Päivitetty 23.3. Exchange-sähköpostipalvelimen kriittinen haavoittuvuus edellyttää tilanteen seurantaa

Varoitus1/2021

Päivitimme varoituksen 23.3. keltaiseksi. Tämän hetken arviomme mukaan akuuttivaihe on ohi, jonka vuoksi laskemme varoituksen punaisesta keltaiseen tasoon.

Exchange-sähköpostipalvelimen kriittistä haavoittuvuutta käytetään aktiivisesti hyväksi. Korjaavat päivitykset ovat jo olemassa, ja haavoittuvat sähköpostipalvelimet tulee päivittää heti. Mikäli organisaatiolla on tai on ollut käytössään haavoittuva Exchange-palvelin, tulee toimenpiteiden lähtökohtana olla se, että organisaatio on hyvin todennäköisesti joutunut tietomurron kohteeksi. Hyökkäyksissä käytetään Exchange-palvelimen porttia 443, eli Outlook Web Access (OWA) -komponenttia.

Microsoft havaitsi ja korjasi useamman nollapäivähaavoittuvuuden, joita käytettiin kohdistetuissa hyökkäyksissä Microsoft Exchange Server -sähköpostipalvelimia kohtaan. Haavoittuvuuksien avulla hyökkääjät pääsivät sähköpostipalvelimen avulla uhrien sähköpostitileille. Tämän jälkeen hyökkääjät ovat asentaneet haittaohjelman, jonka avulla he ovat vahvistaneet jalansijaa uhrin ympäristössä. 

Kyberturvallisuuskeskus arvioi, että haavoittuvuutta on jo käytetty ja käytetään edelleen laajasti Suomessa hyväksi hyökkäysten toteuttamiseksi. Mikäli organisaatiolla on tai on ollut käytössään haavoittuva Exchange-palvelin, tulee organisaatiossa toteutettavien toimenpiteiden lähtökohtana olla, se että organisaatio on joutunut onnistuneen tietomurron kohteeksi.

Kyberturvallisuuskeskus kehottaa kaikkia suomalaisia organisaatioita, joilla on haavoittuva Exchange-sähköpostipalvelin, ryhtymään välittömiin toimenpiteisiin haavoittuvuuksien korjaamiseksi sekä hyökkääjien asentamien ns. takaporttien löytämiseksi ja poistamiseksi. Tämän lisäksi organisaatioiden tulee tehdä tietomurtotutkinta.  On huomioitava, että pelkkä ohjelmistopäivityksen asentaminen ei riitä pitämään hyökkääjää loitolla.

Viime päivinä on paljastunut merkittävä määrä Microsoft Exchange -sähköpostipalvelimiin tehtyjä tietomurtoja, joiden yhteydessä palvelimelle on asennettu ns. webshell-takaportti. Webshell-takaporttien asentaminen uhrin ympäristöön on ollut yleinen hyökkääjän toimintamalli erityisesti Exchange-palvelimiin kohdistuneiden tietomurtojen yhteydessä jo viime vuodesta lähtien. Hyökkääjien arsenaaliin kuuluu kuitenkin myös lukuisia muita työkaluja, joihin ei  tässä ohjeessa tarkemmin paneuduta. Jälkiä maaliskuun alussa korjattujen haavoittuvuuksien CVE- 2021-26855, CVE-2021-26857, CVE-2021-27065 ja CVE-2021-26858 hyväkskäyttöyrityksistä kannattaa etsiä Exchange-sähköpostipalvelimen lokitiedoista Microsoftin ohjeiden mukaisesti (https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/#scan-log (Ulkoinen linkki)).

Varoituksen kohderyhmä

Organisaatioiden johto, ICT-järjestelmien ylläpitäjät.

Ratkaisu- ja rajoitusmahdollisuudet

  1. Päivitä Exchange-palvelin Microsoftin ohjeiden mukaisesti. Microsoft tarjoaa päivitystasojen tarkastamiseen ilmaisen PowerShell-pohjaisen työkalun (Ulkoinen linkki).
  2. Päivitysten jälkeen ylläpitäjien kannattaa etsiä järjestelmistään viitteitä haavoittuvuuden hyväksikäytöstä. Kyberturvallisuuskeskuksen ohje 8.3. (Ulkoinen linkki)

Microsoft on listannut ohjeita murtojälkien kartoitukseen (Ulkoinen linkki), jonka lisäksi eri tietoturvatoimijat ovat julkaisseet tapoja etsiä niitä automaattisten työkalujen avulla. Tarjolla on myös Sigma-sääntöjä (Ulkoinen linkki) murtautumisten havainnointiin. Merkkejä väärinkäytöstä voi myös etsiä Yara-säännöillä (Ulkoinen linkki).

Yhdysvaltojen tietoturvaviranomainen CISA on julkaissut ohjeita haavoittuvuuden hyväksikäytön estämiseen sekä havaitsemiseen: Mitigate Microsoft Exchange Server Vulnerabilities (Ulkoinen linkki). Mikäli päivityksiä ei kyetä ajamaan Microsoft OWA-palvelimelle, on Microsoft julkaissut myös haavoittuuvuuksien hyväksikäyttöä rajoittavia keinoja. Ensisijainen korjaus on kuitenkin päivittäminen.

Lisätietoa

Päivityshistoria

Päivitetty koko varoitus vastaamaan uusia tietoja. Poistettu kokonaan Volexity-tietoturvayhtiön IP-listaus.

Varoitus muutettu punaisesta keltaiseksi - tilanteen rauhoittumisen seurauksena.