<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=244692402885131&amp;ev=PageView&amp;noscript=1">

Nye sårbarheiter i Microsoft Exchange server

Jarle Børven 08. mar 2021


Det blei nyleg oppdaga fleire nulldagssårbarheiter i Microsoft Exchange Server. Sårbarheitene blir aktiv utnytta i dag av angriparar. Uavhengig om du har oppdatert systemet eller ikkje, er det særs viktig at du les vidare for å unngå at nettopp ditt system blir infisert. Ettersom sårbarheitene har vore der heilt tilbake til 1.september, bør det gjennomførast ein sjekk om systemet er kompromittert, sidan ein oppgradering ikkje vil fjerne angripar frå systemet om systemet allereie er kompromittert.

Sårbarhetene som det er snakk om er:

CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 og CVE-2021-27065.

Feila over let angripar køyre kode på systemet med dei høgaste tilgangar på systemet, skrive til fil, samt utføre handlingar mot andre tenester, som trafikk frå Exchange Serveren sjølv.

Følgjande versjonar av Microsoft Exchange server sårbare:

  • Exchange 2013 CU23 – Versjonar før 15.0.1497.12
  • Exchange 2016 CU18 – Versjonar før 15.1.2106.13
  • Exchange 2016 CU19 – Versjonar før 15.1.2176.9
  • Exchange 2019 CU7 – Versjonar før 15.2.721.13
  • Exchange 2019 CU8 – Versjonar før 15.2.792.10

 

Korleis kan eg verifisere om min Microsoft Exchange server har blitt utnytta?

Microsoft Exchange Server team har utvikla eit skript som sjekkar ulike faktorar for å gjere denne jobben så enkel som mogleg. Dette skriptet kan du finne her:

https://github.com/microsoft/CSS-Exchange/tree/main/Security

 

Korleis kan eg beskytte meg?

Dersom det er mogleg, oppgrader til siste moglege versjon av Microsoft Exchange Server snarast for å oppnå full beskyttelse.

Om du ikkje har moglegheit til å oppgradera til siste moglege versjon, kan du gjere følgjande:

  • Filtrer http requests som inneheld ondsinna X-AnonResource-Backend og ondsinna X-BEResource cookie
  • Deaktiver UM Service vil mitigera CVE-2021-26857
  • Deaktiver ECP Virtual Directory vil mitigera CVE-2021-27065
  • Deaktiver OAB Application Pool vil mitigera CVE-2021-26858

Dersom du treng hjelp for å verifisera om du er sårbar, har allereie blitt utsatt for angrep eller treng hjelp til å sikre ditt system, sjå https://www.netsecurity.no/under-angrep

 

Referansar:

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

https://nsm.no/aktuelt/oppdater-microsoft-exchange-snarest

 

KONTAKT MED NETSECURITY:

Ta gjerne kontakt med din kontaktperson i Netsecurity for mer informasjon og assistanse.



NO|EN