Skip to main content

    Det blei nyleg oppdaga fleire nulldagssårbarheiter i Microsoft Exchange Server. Sårbarheitene blir aktiv utnytta i dag av angriparar. Uavhengig om du har oppdatert systemet eller ikkje, er det særs viktig at du les vidare for å unngå at nettopp ditt system blir infisert. Ettersom sårbarheitene har vore der heilt tilbake til 1.september, bør det gjennomførast ein sjekk om systemet er kompromittert, sidan ein oppgradering ikkje vil fjerne angripar frå systemet om systemet allereie er kompromittert.

    Sårbarhetene som det er snakk om er:

    CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 og CVE-2021-27065.

    Feila over let angripar køyre kode på systemet med dei høgaste tilgangar på systemet, skrive til fil, samt utføre handlingar mot andre tenester, som trafikk frå Exchange Serveren sjølv.

    Følgjande versjonar av Microsoft Exchange server sårbare:

    • Exchange 2013 CU23 – Versjonar før 15.0.1497.12
    • Exchange 2016 CU18 – Versjonar før 15.1.2106.13
    • Exchange 2016 CU19 – Versjonar før 15.1.2176.9
    • Exchange 2019 CU7 – Versjonar før 15.2.721.13
    • Exchange 2019 CU8 – Versjonar før 15.2.792.10

     

    Korleis kan eg verifisere om min Microsoft Exchange server har blitt utnytta?

    Microsoft Exchange Server team har utvikla eit skript som sjekkar ulike faktorar for å gjere denne jobben så enkel som mogleg. Dette skriptet kan du finne her:

    https://github.com/microsoft/CSS-Exchange/tree/main/Security

     

    Korleis kan eg beskytte meg?

    Dersom det er mogleg, oppgrader til siste moglege versjon av Microsoft Exchange Server snarast for å oppnå full beskyttelse.

    Om du ikkje har moglegheit til å oppgradera til siste moglege versjon, kan du gjere følgjande:

    • Filtrer http requests som inneheld ondsinna X-AnonResource-Backend og ondsinna X-BEResource cookie
    • Deaktiver UM Service vil mitigera CVE-2021-26857
    • Deaktiver ECP Virtual Directory vil mitigera CVE-2021-27065
    • Deaktiver OAB Application Pool vil mitigera CVE-2021-26858

    Dersom du treng hjelp for å verifisera om du er sårbar, har allereie blitt utsatt for angrep eller treng hjelp til å sikre ditt system, sjå https://www.netsecurity.no/under-angrep

     

    Referansar:

    https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

    https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

    https://nsm.no/aktuelt/oppdater-microsoft-exchange-snarest

     

    KONTAKT MED NETSECURITY:

    Ta gjerne kontakt med din kontaktperson i Netsecurity for mer informasjon og assistanse.

    Oslo

    Drammensveien 288

    0283 Oslo

    Bergen

    Sandviksbodene 1

    5035 Bergen

    Stavanger

    Kanalsletta 4

    4033 Stavanger

    Grimstad

    Bark Silas vei 5

    4876 Grimstad

    Kristiansand

    Dronningens gt 12

    4610 Kristiansand

    Trondheim

    Krambugata 2

    7011 Trondheim

    Stockholm

    Kammakargatan 22

    111 40 Stockholm