Microsoft har släppt säkerhetsuppdateringar för sin Exchange-programvara för e-postserver på plats som företag bör ta ombord.
Säkerhetsuppdateringarna är för brister i Exchange Server 2013, 2016 och 2019 – de lokala versionerna av Exchange som äventyrades tidigare i år av den Peking-stödda hackargruppen som Microsoft kallar Hafnium. Fyra sårbarheter i den lokala Exchange-servermjukvaran utnyttjades, och nu har Microsoft varnat för att en nyligen korrigerad brist – spårad som CVE-2021-42321 – också är under attack.
Exchange-säkerhetsuppdateringarna släpptes som en del av Microsofts november 2021 Patch Tuesday-uppdateringar för Windows, Edge-webbläsaren, Office-paketet och andra programvaruprodukter.
“Exchange-buggen CVE-2021-42321 är en “post-autentiseringssårbarhet i Exchange 2016 och 2019. Vår rekommendation är att installera dessa uppdateringar omedelbart för att skydda din miljö”, sa Microsoft i ett blogginlägg om de nya Exchange-buggarna.
“Dessa sårbarheter påverkar den lokala Microsoft Exchange Server, inklusive servrar som används av kunder i Exchange Hybrid-läge. Exchange Online-kunder är redan skyddade och behöver inte vidta några åtgärder”, noterar Microsoft.
Attacker som påverkar användare efter autentisering är riskabla eftersom de påverkar användare som har autentiserats med legitima men stulna autentiseringsuppgifter. Vissa attacker efter autentisering kan göra tvåfaktorsautentisering värdelös eftersom skadlig programvara gör sitt knep efter att en person har autentiserats med en andra faktor.
De Kina-baserade angriparna fick åtkomst till Exchange-servrar genom de fyra buggarna eller stulna referenserna, vilket gjorde att de kunde skapa webbskal – ett kommandoradsgränssnitt – för att fjärrkommunicera med en infekterad dator. Webbskal är praktiska för angripare eftersom de kan överleva på ett system efter en patch och måste tas bort manuellt.
Angripare går vanligtvis efter administratörsuppgifter för att köra skadlig programvara, men de använder också anslutningar som inte är skyddade av ett VPN. Alternativt attackerar de VPN själva.
Microsoft tillhandahåller detaljerade uppdateringsinstruktioner som Exchange-administratörer bör följa, inklusive uppdatering av relevanta kumulativa uppdateringar (CU) för Exchange Server 2013, 2016 och 2019.
Företaget varnar för att administratörer bör uppdatera till en av de CU:er som stöds: det kommer inte att tillhandahålla uppdateringar till CU:er som inte stöds, som inte kommer att kunna installera säkerhetsuppdateringarna från november.
Microsoft bekräftade att tvåfaktorsautentisering (2fa) inte nödvändigtvis skyddar mot angripare som utnyttjar de nya Exchange-bristerna, särskilt om ett konto redan har äventyrats.
“Om autentiseringen lyckas (2FA eller inte) kan CVE-2021-42321 vara exploateringsbar”, säger Microsofts programchef Nino Bilic.
“Men faktiskt, 2FA kan göra autentisering svårare att gå igenom så i det avseendet kan det “hjälpa”. Men låt oss säga om det finns ett konto hos 2FA som har äventyrats – ja, i så fall skulle det inte göra någon skillnad “, tillägger Bilic.
För att upptäcka kompromisser rekommenderar Microsoft att du kör PowerShell-frågan på din Exchange-server för att söka efter specifika händelser i händelseloggen:
Get-EventLog -LogName Application -Source “MSExchange Common” -EntryType Error | Where-Object { $_.Message -like “*BinaryFormatter.Deserialize*” }
Säkerhet
Det bästa nätfiskemålet? Din smartphone Varför du behöver denna säkerhetsnyckel på 29 $ FBI: Ransomware grupperar som knyter attacker till “betydande ekonomiska händelser” Signal avslöjar hur långt amerikansk brottsbekämpning kommer att gå för att få folks information De 10 värsta hårdvarusäkerhetsbristerna 2021 Cybersecurity 101: Skydda din integritet från hackare , spioner, regeringen
Black Friday-erbjudanden
Tidiga Black Friday-erbjudanden: TV-apparater, telefoner, bärbara datorer, mer Early Best Buy-erbjudanden tillgängliga just nu Amazons tidiga erbjudanden: bärbara datorer, tv-apparater, hörlurar Costcos tidiga Black Friday-erbjudanden Bästa tidiga monitorerbjudanden Bästa Black Friday-spelerbjudanden: Triple-A-spel, kontroller, monitorer, mer Se alla de senaste erbjudandena här
Enterprise Software | Säkerhets-TV | Datahantering | CXO | Datacenter