Varsel: Alvorlig sårbarhed udnyttes i angreb mod Exchange Server

Microsoft advarer om en kritisk sårbarhed i Exchange Server, som er blevet udnyttet i angreb. Der er kun midlertidige foranstaltninger tilgængelige.

Hvis man administrerer en on-premise Microsoft Exchange-løsning, bør man være særlig opmærksom på to zero-day-sårbarheder i Exchange Server. Det vil sige sårbarheder, som er blevet udnyttet, før en opdatering var tilgængelig.

 

Der er efter Microsofts planlagte månedlige sikkerhedsopdateringer den 11. oktober 2022 fortsat ingen opdatering tilgængelig.

 

Microsoft har udgivet en vejledning om midlertidige foranstaltninger, som enten anvender Exchange Emergency Mitigation Service (EEMS) eller et script eller manuelle skridt til at ændre den måde, hvorpå PowerShell kan åbnes fra et kald til en URL. Microsoft råder også til, at man kan blokere for ikke-administratorers adgang til PowerShell på serveren.

 

Microsoft oplyser, at selskabet har observeret, at en aktør har udnyttet sårbarhederne. Ifølge Microsoft, observerede selskabet i august et mindre antal målrettede angreb, hvor aktøren udnyttede sårbarhederne til at installere en webshell (Chopper) og derefter fortsætte angrebet manuelt ("hands on keyboard"). Ifølge Microsoft var der tale om færre end 10 organisationer, som Microsoft har observeret angreb mod.

 

Begge sårbarheder forudsætter, at angriberen allerede har adgang til mailserveren. Det kan for eksempel være gennem en kompromitteret brugerkonto. De to sårbarheder kan derefter udnyttes til at kompromittere selve mailserveren. Det kan potentielt give mulighed for at hente en stor mængde mails fra serveren. En angriber kan også potentielt udnytte sit fodfæste på mailserveren til at forsøge at kompromittere andre systemer på netværket.

 

En angriber kunne eksempelvis opnå det første fodfæste på mailserveren gennem brute force-angreb mod brugerkonti. Administratorer bør derfor være særlig opmærksomme på tegn på brute force-forsøg.

 

Sårbarhederne er i it-sikkerhedskredse også omtalt som "ProxyNotShell".

 

Yderligere information:

Microsoft: Analyzing attacks using the Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082

 

MSRC: Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server

 

Microsoft: Microsoft Exchange Server Elevation of Privilege Vulnerability (CVE-2022-41040)

 

Microsoft: Microsoft Exchange Server Remote Code Execution Vulnerability (CVE-2022-41082)

 

Varsler fra CFCS

CFCS ønsker at give flere danske organisationer et overblik over aktuelle sårbarheder og vil derfor udgive flere varsler på hjemmesiden. Det øgede antal varsler afspejler ikke en konkret ændring i trusselsbilledet.

Brute force-angreb

Et (simpelt) brute force-angreb er et angreb, hvor hackeren forsøger at gætte et password ved at kombinere alle mulige bogstaver, tal og tegn, der kan indgå i et password. Et computerprogram kan gøre det meget hurtigt. Jo længere et password er, jo længere tid vil det tage at gætte den rigtige kombination.

 

Se også: Credential stuffing

Se også: Ordbogsangreb

Se også: Password spraying

Sidst opdateret 12. oktober, 2022 - Kl. 13.02