Microsoft Exchange Server-hack: Hva skjedde og hvordan beskytte nettverket ditt mot angrep Se nå
Microsoft har gitt ut sikkerhetsoppdateringer for sin lokale Exchange-programvare for e-postservere som bedrifter bør ta med seg.
Sikkerhetsoppdateringene er for feil i Exchange Server 2013, 2016 og 2019 – de lokale versjonene av Exchange som ble kompromittert tidligere i år av den Beijing-støttede hackergruppen som Microsoft kaller Hafnium. Fire sårbarheter i lokale Exchange-serverprogramvare ble utnyttet, og nå har Microsoft advart om at en nylig rettet feil – sporet som CVE-2021-42321 – også er under angrep.
Exchange-sikkerhetsoppdateringene ble utgitt som en del av Microsofts november 2021 Patch Tuesday-oppdateringer for Windows, Edge-nettleseren, Office-pakken og andre programvareprodukter.
«Exchange-feilen CVE-2021-42321 er en «post-autentiseringssårbarhet i Exchange 2016 og 2019. Vår anbefaling er å installere disse oppdateringene umiddelbart for å beskytte miljøet ditt», sa Microsoft i et blogginnlegg om de nye Exchange-feilene.
“Disse sårbarhetene påvirker lokal Microsoft Exchange Server, inkludert servere som brukes av kunder i Exchange Hybrid-modus. Exchange Online-kunder er allerede beskyttet og trenger ikke foreta seg noe,” bemerker Microsoft.
Angrep som påvirker brukere etter autentisering er risikable fordi de påvirker brukere som har autentisert med legitim, men stjålet legitimasjon. Noen angrep etter autentisering kan gjøre tofaktorautentisering ubrukelig siden skadelig programvare gjør susen etter at en person har autentisert med en andre faktor.
De Kina-baserte angriperne fikk tilgang til Exchange-servere gjennom de fire feilene eller stjålne legitimasjonen, slik at de kunne lage web-skall – et kommandolinjegrensesnitt – for å eksternt kommunisere med en infisert datamaskin. Nettskall er nyttige for angripere fordi de kan overleve på et system etter en oppdatering og må fjernes manuelt.
Angripere går vanligvis etter administratorlegitimasjon for å kjøre skadelig programvare, men de bruker også tilkoblinger som ikke er beskyttet av en VPN. Alternativt angriper de VPN-er selv.
Microsoft gir detaljerte oppdateringsinstruksjoner som Exchange-administratorer bør følge, inkludert oppdatering av de relevante kumulative oppdateringene (CU) for Exchange Server 2013, 2016 og 2019.
Bedriften advarer om at administratorer bør oppdatering til en av de støttede CU-ene: den vil ikke gi oppdateringer til ikke-støttede CU-er, som ikke vil kunne installere sikkerhetsoppdateringene fra november.
Microsoft bekreftet at tofaktorautentisering (2fa) ikke nødvendigvis vil beskytte mot angripere som utnytter de nye Exchange-feilene, spesielt hvis en konto allerede er kompromittert.
“Hvis authen er vellykket (2FA eller ikke), kan CVE-2021-42321 være utnyttelig,” sier Microsofts programleder Nino Bilic.
“Men faktisk kan 2FA gjøre autentisering vanskeligere å gå gjennom, så i den forbindelse kan det “hjelpe”. Men la oss si om det er en konto hos 2FA som har blitt kompromittert – vel, i så fall vil det ikke ha noen forskjell “, legger Bilic til.
For å oppdage kompromisser anbefaler Microsoft å kjøre PowerShell-spørringen på Exchange-serveren din for å se etter spesifikke hendelser i hendelsesloggen:
Get-EventLog -LogName Application -Source “MSExchange Common” -EntryType Error | Where-Object { $_.Message -like “*BinaryFormatter.Deserialize*” }
Sikkerhet
Det beste phishing-målet? Din smarttelefon Hvorfor trenger du denne sikkerhetsnøkkelen til $29 FBI: Ransomware grupperer som knytter angrep til “betydelige økonomiske hendelser” Signal avslører hvor langt amerikansk rettshåndhevelse vil gå for å få folks informasjon De 10 verste maskinvaresikkerhetsfeilene i 2021 Cybersecurity 101: Beskytt personvernet ditt mot hackere , spioner, regjeringen
Enterprise Software | Sikkerhets-TV | Databehandling | CXO | Datasentre