Af Eskil Sørensen, 31/01/23
Microsoft advarer administratorer om at holde Exchange Server opdateret, da platformen konstant er under angreb fra trusselsaktører.
Det skriver ZDNet på baggrund af en blogpost fra Microsofts Exchange Team.
Det sker, efter at CISA tidligere på måneden og beordrede føderale enheder om at rette Exchange-fejlen CVE-2022-41080. Sårbarheden blev første gang kendt i den brede offentlighed, da den blev publiceret på National Vulnerability Databasen i starten af november sidste år og siden lagt på listen over kendte udnyttede sårbarheder den 10. januar i år med deadline for håndtering den 31. januar.
’Det ender aldrig’
Advarslen er ellers til at forstå: ’Angribere, der ønsker at udnytte ikke-patchede Exchange-servere, vil ikke forsvinde,’ fremgår det og det tilføjes: ’Vi ved, at det er vigtigt at holde dit Exchange-miljø beskyttet, og vi ved, at det aldrig ender.’
Exchange Server har i de senere år været genstand for massiv opmærksomhed fra både god- og ondsindede aktører – bl.a. i forbindelse med fundet af Hafnium-sårbarheden i vinteren 2021, som danske Dubex var med til, og som affødte flere opdateringer de efterfølgende måneder.
Exchange Server er i det hele taget populært mål på grund af værdien af postkasser og det faktum, at Exchange Server indeholder en kopi af virksomhedens adressebog. Disse adresser er nyttige for datahøstere, som enten selv kan bruge dem eller sælge dem videre til anvendelse til phishing-angreb. Derudover har Exchange kroge ind i Active Directory og giver i et hybridmiljø også en angriber adgang til et evt. tilsluttet cloudmiljø.
Efter udsendelsen af opdateringen i november Microsoft fandt forskere ved CrowdStrike ud af, at angribere havde kombineret det med CVE-2022-41082, som er en af ProxyNotShell-fejlene, skriver ZDNet. Dette for at opnå muligheden for fjernafvikling af kode.
Microsoft siger, administratorer ’skal’ (’must’ på engelsk) installere den seneste understøttede kumulative opdatering (CU), som er CU12 til Exchange Server 2019, CU23 til Exchange Server 2016 og CU23 til Exchange Server 2013, og den seneste sikkerhedsopdatering (SU), som er fra januar 2023. Administratorer behøver kun at installere de seneste Exchange Server CU'er og SU'er, fordi de er kumulative opdateringer. Det anbefaler dog, at du installerer den seneste CU og derefter tjekker for at se, om nogen SU'er blev frigivet efter CU'en blev frigivet.
Microsoft råder også administratorer til altid at køre ’Health Checker’ efter installation af en opdatering for at sikre, at der også er styr på de manuelle opgaver, der kræves efter opdateringen. Health Checker giver links til trin-for-trin vejledning.
Links:
https://techcommunity.microsoft.com/t5/exchange-team-blog/protect-your-exchange-servers/ba-p/3726001
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41080