SØK
TRUSSELVURDERING (TLP:CLEAR)

[JustisCERT-varsel] [#015-2021] [TLP:CLEAR] Kritiske 0-dagssårbarheter i Microsoft Exchange on-prem - Oppdater nå!

03-03-2021

Microsoft publiserte 2. mars en "out-of-band"-oppdatering som retter flere kritiske 0-dagssårbarheter i alle on-prem installasjoner av Microsoft Exchange [1,2,3]. En angriper har mulighet til å ta kontroll over virksomhetens servere/nettverk ved bruk av disse sårbarhetene. Oppdateringen for Exchange omfatter syv CVE-er og det finnes alt ferdige angrepsverktøy for fire av disse. Alle on-prem servere med en Exchange-rolle er berørt (Mailbox/Edge Transport/CAS/OWA/Web App osv). Exchange Online er ikke berørt, men benyttes et hybrid-oppsett vil alle on-prem installasjoner være berørt.

 

For å kunne fjerne 0-dagssårbarhetene må Exchange-serverne være oppgradert til en støttet Cumulative Update (CU). Exchange servere med eldre CU kan ikke oppdateres og vil forbli sårbare frem til en støttet CU og 2. mars-patchen er installert. JustisCERT anbefaler å oppdatere alle Exchange-servere umiddelbart og prioriter de som er eksponert mot internett først. Oppdateringen krever normalt en omstart av serveren.

 

CVE-er med ferdige angrepsverktøy:

  • CVE-2021-26855, CVSS 9.1
  • CVE-2021-26857, CVSS 7.8
  • CVE-2021-26858, CVSS 7.8
  • CVE-2021-27065, CVSS 7.8

Resterende CVE-er:

  • CVE-2021-26412, CVSS 9.1
  • CVE-2021-26854, CVSS 6.6
  • CVE-2021-27078, CVSS 9.1

 


Berørte produkter:

  • On-prem installasjoner av Microsoft Exchange 2013, 2016 og 2019
  • Microsoft Exchange 2010 (end of life)

 


Anbefalinger:

  • Installer en støttet/siste CU for Exchange Server først. Alle Exchange on-prem installasjoner er sårbare, men patch er kun tilgjengelig for følgende versjoner:
    •  Microsoft Exchange 2013 med CU 23
    •  Microsoft Exchange 2016 med CU 18 eller CU 19 [4]
    •  Microsoft Exchange 2019 med CU 7 eller CU 8 [5]
  • Installer 2. mars patch snarest
  • Prioriter løsninger som er eksponert mot internett først
  • Blokker all trafikk fra internett mot servere som ikke er oppdatert eller skru disse serverne av

 


Kilder:

[1] https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

[2] https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

[3] https://aka.ms/EXOOB

[4] https://docs.microsoft.com/en-us/exchange/plan-and-deploy/system-requirements?view=exchserver-2016

[5] https://docs.microsoft.com/en-us/exchange/plan-and-deploy/system-requirements?view=exchserver-2019