Microsoft har udgivet sikkerhedsopdateringer til sin Exchange-e-mailserversoftware på stedet, som virksomheder bør tage ombord.
Sikkerhedsopdateringerne er for fejl i Exchange Server 2013, 2016 og 2019 – de lokale versioner af Exchange, der blev kompromitteret tidligere på året af den Beijing-støttede hackergruppe, som Microsoft kalder Hafnium. Fire sårbarheder i den lokale Exchange-serversoftware blev udnyttet, og nu har Microsoft advaret om, at en nyligt rettet fejl – sporet som CVE-2021-42321 – også er under angreb.
Exchange-sikkerhedsopdateringerne blev udgivet som en del af Microsofts november 2021 Patch Tuesday-opdateringer til Windows, Edge-browseren, Office-pakken og andre softwareprodukter.
“Exchange-fejlen CVE-2021-42321 er en “efter-godkendelsessårbarhed i Exchange 2016 og 2019. Vores anbefaling er at installere disse opdateringer med det samme for at beskytte dit miljø,” sagde Microsoft i et blogindlæg om de nye Exchange-fejl.
“Disse sårbarheder påvirker den lokale Microsoft Exchange Server, inklusive servere, der bruges af kunder i Exchange Hybrid-tilstand. Exchange Online-kunder er allerede beskyttet og behøver ikke at foretage sig noget,” bemærker Microsoft.
Angreb, der påvirker brugere efter godkendelse, er risikable, fordi de påvirker brugere, der har autentificeret med legitime, men stjålne legitimationsoplysninger. Nogle post-godkendelsesangreb kan gøre to-faktor-godkendelse ubrugelig, da malwaren gør sit trick, efter at en person har godkendt med en anden faktor.
De Kina-baserede angribere fik adgang til Exchange-servere gennem de fire fejl eller stjålne legitimationsoplysninger, hvilket gjorde det muligt for dem at oprette web-shells – en kommandolinjegrænseflade – for at fjernkommunikere med en inficeret computer. Web-skaller er praktiske for angribere, fordi de kan overleve på et system efter en patch og skal fjernes manuelt.
Angribere går generelt efter admin-legitimationsoplysninger for at køre malware, men de bruger også forbindelser, der ikke er beskyttet af en VPN. Alternativt angriber de VPN'er selv.
Microsoft leverer detaljerede opdateringsinstruktioner, som Exchange-administratorer skal følge, herunder opdatering af de relevante kumulative opdateringer (CU) til Exchange Server 2013, 2016 og 2019.
Virksomheden advarer om, at administratorer bør opdatere til en af de understøttede CU'er: den vil ikke levere opdateringer til ikke-understøttede CU'er, som ikke vil være i stand til at installere sikkerhedsopdateringerne fra november.
Microsoft bekræftede, at to-faktor-godkendelse (2fa) ikke nødvendigvis vil beskytte mod angribere, der udnytter de nye Exchange-fejl, især hvis en konto allerede er blevet kompromitteret.
“Hvis godkendelse lykkes (2FA eller ej), så kan CVE-2021-42321 kunne udnyttes,” siger Microsofts programchef Nino Bilic.
“Men faktisk kan 2FA gøre autentificering sværere at gennemgå, så i den henseende kan det 'hjælpe'. Men lad os sige, hvis der er en konto hos 2FA, der er blevet kompromitteret – ja, i så fald ville det ikke gøre nogen forskel “, tilføjer Bilic.
For at opdage kompromiser anbefaler Microsoft at køre PowerShell-forespørgslen på din Exchange-server for at tjekke for specifikke hændelser i hændelsesloggen:
Get-EventLog -LogName Application -Source “MSExchange Common” -EntryType Error | Where-Object { $_.Message -like “*BinaryFormatter.Deserialize*” }
Sikkerhed
Det bedste phishing-mål? Din smartphone Hvorfor har du brug for denne sikkerhedsnøgle på 29 $ FBI: Ransomware grupperer, der binder angreb til 'betydelige økonomiske begivenheder' Signal afslører, hvor langt amerikansk retshåndhævelse vil gå for at få folks information De 10 værste hardwaresikkerhedsfejl i 2021 Cybersecurity 101: Beskyt dit privatliv mod hackere , spioner, regeringen
Black Friday-tilbud
Tidlige Black Friday-teknologitilbud: TV'er, telefoner, bærbare computere, mere Tidlige Best Buy-tilbud tilgængelige lige nu Amazons tidlige tilbud: Laptops, tv'er, hovedtelefoner Costco's tidlige Black Friday-tilbud Bedste tidlige skærmtilbud Bedste Black Friday-spiltilbud: Triple-A-spil, controllere, skærme, mere Se alle de seneste tilbud her
Enterprise Software | Sikkerheds-tv | Datastyring | CXO | Datacentre