Af Eskil Sørensen, 14/04/21
Microsoft har i dag udsendt sikkerhedsopdateringer til Exchange Server. Opdateringerne adresserer fire sårbarheder, hvoraf den ene kritisk. Det skriver flere medier baseret på Microsofts udmeldinger om sårbarhederne.
Alle fejlene omhandler remote-code-execution, dvs. fjernafvikling af kode og vedrører lokale Exchange Server-versioner 2013 til og med 2019. Microsoft vurderer, at trusselsaktører sandsynligvis vil udnytte sårbarhederne, så snart en exploit er tilgængelig. Pt. er der ikke er indikationer for, at der pågår udnyttelse.
De fire sårbarheder har numrene CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483. De mest alvorlige af dem har en kritisk score på 9,8 ud af 10 og vil kunne udnyttes uden godkendelse. En anden kritisk sårbarhed har scoren 9, mens den mindst alvorlige har scoren er 8,8.
Heath Checker
Opdateringerne manuelt kræver installation af Windows Installer .MSP-patchfiler fra en forhøjet kommandoprompt. Microsoft anbefaler, at organisationer bruger Exchange Server Health Checker-scriptet til at opdage almindelige konfigurationsproblemer. Scriptet viser også, om nogen af Exchange-serverne er bagud med de kumulative eller sikkerhedsopdateringer.
Microsoft har i forbindelse med udarbejdet en FAQ på sit Tech Community-site med spørgsmål og svar, hvis der opstår fejl under eller efter installationen af Exchange Server-opdateringer.
114 fejl, 19 kritiske
I alt har denne måneds Patch Tuesday rettet 114 fejl, som er udsendt med opdateringerne. Fejlene ligger i hhv. Microsoft Windows, den Chromium-baserede Edge-browser, Azure og Azure DevOps Server, Microsoft Office, SharePoint Server, Hyper-V, Team Foundation Server, Visual Studio og Exchange Server.
Links:
https://msrc-blog.microsoft.com/2021/04/13/april-2021-update-tuesday-packages-now-available/
https://www.securityweek.com/ms-patch-tuesday-nsa-reports-new-critical-exchange-flaws?