Kritisk sårbarhet i Exchange e-postserver utnyttjas aktivt
Varning1/2021
Exchange e-postserver har en kritisk sårbarhet som utnyttjas aktivt. Uppdateringar för att åtgärda sårbarheten finns tillgängliga och e-postservrarna ska uppdateras genast. Administratörer ska dessutom leta efter tecken på om sårbarheten utnyttjats. Microsoft berättar att man redan använt nolldagarssårbarheter för riktade angrepp i många länder. Vi uppdaterade den röda varningen till gul den 23 mars och slopade varningen 15.4.2021.
Varningen slopades 15.4.2021.
Exchange e-postserver har en kritisk sårbarhet som utnyttjas aktivt. Uppdateringar för att åtgärda sårbarheten finns tillgängliga och e-postservrarna ska uppdateras genast. Om organisationen har eller har haft en sårbar Exchange-server ska åtgärderna utgå från att organisationen mycket sannolikt har drabbats av dataintrång. För angrepp använder man Exchange-serverns port 443, dvs. komponenten Outlook Web Access (OWA).
Microsoft upptäckte och åtgärdade flera nolldagarssårbarheter som utnyttjades vid riktade angrepp mot e-postservrar Microsoft Exchange Server. Med hjälp av sårbarheterna fick angriparna tillgång till offrens e-postkonton. Därefter har angriparna installerat ett skadligt program som stärkat sitt fotfäste i offrets miljö.
Cybersäkerhetscentret bedömer att sårbarheten har utnyttjats och fortfarande utnyttjas i stor utsträckning för angrepp i Finland. Om organisationen har eller har haft en sårbar Exchange-server ska åtgärderna utgå från att organisationen mycket sannolikt har drabbats av ett lyckat dataintrång.
Cybersäkerhetscentret uppmanar alla finländska organisationer med en sårbar Exchange e-postserver att vidta omedelbara åtgärder för att åtgärda sårbarheterna samt för att hitta och avlägsna s.k. kryphål som angriparna installerat. Organisationerna ska dessutom utreda dataintrånget. Beakta att det inte räcker att bara installera en programuppdatering för att hålla angriparna borta.
Under de senaste dagarna har det förekommit ett stort antal dataintrång i Microsoft Exchange e-postservrar där man installerat en så kallad webshell-bakdörr på servern. Angriparnas metod har redan från senaste år ofta varit att installera Webshell-bakdörrar i offrets miljö speciellt i samband med dataintrång i Exchange-servrar. Angriparna har också många andra verktyg till sitt förfogande men de behandlas inte närmare i denna anvisning. Det lönar sig att leta efter spår av försök att utnyttja följande sårbarheter som korrigerats i början av mars: CVE-2021-26855, CVE-2021-26857, CVE-2021-27065 och CVE-2021-26858. Sök dem i Exchange e-postserverns loggdata i enlighet med Microsofts anvisningar (Extern länk).
Målgrupp för varningen
Organisationernas ledning, administratörer av ICT-system.
Åtgärds- och begränsningsmöjligheter
- Uppdatera Exchange-servern i enlighet med Microsofts anvisningar. Microsoft tillhandahåller ett gratis PowerShell-baserat verktyg (Extern länk) för att kontrollera uppdateringsnivån (Extern länk).
- Efter uppdateringarna ska administratörerna leta efter tecken på om sårbarheten utnyttjats.
Microsoft har gett anvisningar för att undersöka spår av intrång (Extern länk), och dessutom har flera informationssäkerhetsaktörer publicerat olika sätt att leta efter dem med hjälp av automatiska verktyg. Även Sigmaregler (Extern länk) finns tillgängliga för att kunna upptäcka intrång. Tecken på missbruk kan man också leta efter med Yara-regler (Extern länk).
Den amerikanska informationssäkerhetsmyndigheten CISA har publicerat anvisningar med tanke på att förhindra och upptäcka utnyttjande av sårbarheter: Mitigate Microsoft Exchange Server Vulnerabilities (Extern länk). Microsoft har också publicerat åtgärder som begränsar utnyttjande av sårbarheter i de fall då det inte går att köra uppdateringar på Microsoft OWA-servern. Uppdatering är dock den primära åtgärden.
Mer information
Cybersäkerhetscentrets publikationer:
- Informationsäkerhet nu! -artikel: Vi publicerade en röd varning: Kritisk sårbarhet i Exchange e-postserver utnyttjas aktivt
- Sårbarhet 7/2021: Microsoft korjasi kriittisiä haavoittuvuuksia Exchange Serverissä (på finska)
- Anvisning: Anvisningar för att hitta webshell-bakdörrar
- Publikation: Opas tietomurtojen havaitsemiseen (på finska)
Publikationer av informationsäkerhetsföretag:
- Microsoft: New nation-state cyberattacks (Extern länk)
- Microsoft: Released: March 2021 Exchange Server Security Updates (Extern länk)
- Microsoft: HAFNIUM targeting Exchange Servers with 0-day exploits (Extern länk)
- Volexity: Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities (Extern länk)
Uppdateringshistoria
Hela varningen har uppdaterats så att den motsvarar den senaste informationen. Säkerhetsföretaget Volexitys lista över IP-adresser har raderats.
Varningen har ändrats från röd till gul därför att läget har blivit lugnare.
Varningen slopades 15.4.2021.