Af Eskil Sørensen, 26/11/21
Proof-of-concept exploitkode er blevet frigivet for en aktivt udnyttet, alvorlig sårbarhed, der påvirker Microsoft Exchange-servere. Det skriver Bleeping Computer.
Hvis angribere formår at udnytte sårbarheden, får de mulighed for at afvikle kode eksternt på sårbare Exchange-servere.
Fejlen med id’et CVE-2021-42321, der påvirker Exchange Server 2016 og Exchange Server 2019, blev rettet af Microsoft under denne måneds Patch Tuesday, men da ikke alle opdaterer lige med det samme, er tilgængeligheden af POC-koden en god anledning til at få det gjort.
Microsoft nævnte allerede i forbindelse med Patch Tuesday, at der var kendskab til ’begrænsede målrettede angreb in the wild’, hvorfor administratorer blev anbefalet at installere opdateringerne med det samme.
Hvis man kører den seneste version af Exchange Server Health Checker-scriptet, kan man få en opgørelse over alle Exchange-servere i ens servermiljø, der skal opdateres. Vil man derimod tjekke, om nogle af ens sårbare Exchange-servere allerede er blevet ramt af forsøg på at udnytte CVE-2021-42321, kan man køre en PowerShell-forespørgsel på hver Exchange-server mhp. at tjekke for specifikke hændelser i hændelsesloggen.
Sårbarheden har en score på 8,8 på CVSS-skalaen.