Microsoft udsendte den 2. marts 2021 en ekstraordinær sikkerhedsopdatering til mailserveren Microsoft Exchange Server. Ifølge private sikkerhedsfirmaer har mindst én aktør sandsynligvis forsøgt at udnytte én eller flere sårbarheder siden januar.

Den seneste status 12. marts 2021 er, at ifølge flere sikkerhedsfirmaer er en række aktører i færd med at udnytte sårbarheden bredt til angreb med forskelligt motiv.

Sårbarhederne

Der er tale om fire "0-dags-sårbarheder". Det vil sige, at de er blevet udnyttet, før de er blevet opdaget. Sårbarhederne kan tilsammen udnyttes til at få adgang til en Exchange Server og installere en bagdør (webshell) uden at være logget ind eller have adgang til et internt netværk.
Hvem kan være påvirket

Alle supporterede versioner af Exchange Server er påvirket (2013, 2016, 2019). Microsoft har også frigivet en opdatering til Exchange Server 2010, som ellers har nået end-of-life og derfor ikke får regelmæssige sikkerhedsopdateringer.

Ifølge Microsoft er kunder, der benytter Office 365 og Exchange Online, kun påvirket, hvis de også har en on-premise Exchange Server. Det vil sige en hybridløsning.

Microsoft har frigivet en række indikatorer, som kan anvendes til at undersøge, hvorvidt en Exchange Server-installation er kompromitteret. 

Anbefaling: Opdatering

CFCS anbefaler, at man opdaterer hurtigst muligt, hvis man benytter Exchange servere. De nyligt udgivne patches forhindrer udnyttelse af kritiske sårbarheder. 

I første omgang havde Microsoft kun frigivet opdateringer til de seneste supporterede versioner. Det vil sige, at man skulle have installeret den seneste "cumulative update" (CU). Microsoft har efterfølgende frigivet opdateringer til de øvrige supporterede CU-versioner.

Anbefaling: Scan for kompromittering

Der er observeret aktiv og automatiseret udnyttelse af sårbarhederne fra flere aktører. På nuværende tidspunkt anbefaler CFCS derfor, at man undersøger sin Microsoft Exchange Server for mulige bagdøre i systemet.

Microsoft har udgivet et værktøj til at undersøge mulig Exchange Server kompromittering. Vær opmærksom på, at scriptet opdateres løbende, hvorfor det anbefales at bruge den nyeste version - selv hvis man har kørt scriptet tidligere.

Anbefaling: Mitigering

Ved manglende mulighed for at patche sin Microsoft Exchange Server med det samme, har Microsoft udgivet midlertidige mitigeringsløsninger. Det anbefales, at man stadig patcher snarest, da mitigeringerne ikke gælder et allerede kompromitteret system.

Yderligere information

Det danske sikkerhedsfirma, Dubex, som var med til at opdage og advare Microsoft om sårbarhederne, har udgivet deres generelle anbefalinger til at imødegå angrebet.

Sikkerhedsfirmaet Volexity, som også var med til at opdage angrebet, har ligeledes udgivet et blogindlæg med detaljer om angrebsmetoder og med indikatorer til at finde tegn efter en kompromittering i logfiler.