MICROSOFT EXCHANGE

Advarer mot aktiv utnyttelse av Exchange-hull

Systemeiere med on-premise Exchange med internett-eksponert OWA som ikke tar grep umiddelbart kommer til å bli kompromittert. De kan forvente at virksomhetens systemer vil bli kryptert i sin helhet, ifølge sikkerhetsmyndighetene.

Exchange on-prem er igjen utsatt for angrep.
Exchange on-prem er igjen utsatt for angrep. Illustrasjon: Colourbox/Buchachon. Montasje: Digi.no
23. des. 2022 - 17:00

Exchange Server er kanskje det Microsoft-produktet som er mest utsatt for cyberangrep for tiden. En serie kritiske sårbarheter er under angrep.

Dette gjelder virksomheter som kjører Microsoft Exchange («on premise») – og de som har Outlook Web Access (OWA) eksponert mot internett. Microsofts abonnementsbaserte skytjeneste er ikke berørt.

I november kom Microsoft med sikkerhetsoppdateringer til ProxyNotShell, som er en kjede av kritiske sårbarheter, som har mye til felles med ProxyShell-sårbarhetene som kom under angrep i fjor.

Nasjonalt cybersikkerhetssenter (NCSC) i NSM har publisert advarsel om aktiv utnyttelse av kritiske sårbarhet i Exchange og OWA. Meldingen har bakgrunn i varsling fra kolleger i HelseCERT.

Videre har sikkerhetseksperter fra Crowdstrike nylig identifisert en ny angrepsteknikk døpt OWASSRF, som også kan gi fjernaksess på berørte systemer.

Microsoft har gått hardt til verks på sine egne KI-produkter og har kommet frem til at KI-sikkerhet er et arbeid som aldri vil ta slutt.
Les også

Undersøkte sikkerheten til 100 KI-produkter. Her er resultatet

Forvent full kompromittering og løsepengevirus

De kritiske sårbarhetene blir aktivt utnyttet av trusselaktører, som blant annet benytter løsepengevirus av typen «Play».

Det klare rådet til systemeiere er å installere sikkerhetsoppdateringene som ble tilgjengeliggjort i november, sekundært også for desember, så fort det lar seg gjøre. Hvis det ikke er mulig, så bør løsningen deaktiveres.

– I motsatt fall er det bare å forvente at Exchange Server on-premise med OWA vil bli kompromittert. Det vil sannsynligvis medføre både datainnbrudd og kryptering av virksomhetens systemer i sin helhet, advarer NCSC.

– Vi støtter forøvrig HelseCERTs vurdering om at det vil utgjøre en høy risiko å la internetteksponerte systemer stå uten sikkerhetsoppdateringer.

Automatiserte angrep

En russisk-språklig kriminell hackergruppering kalt Fin7, som har vært aktiv i mer enn 10 år, skal for øvrig ha utviklet en automatisert angrepsplattform, som er spesielt lagd for å bryte seg inn på sårbare Exchange-servere. Det melder Bleeping Computer

I mars ble de oppdaget et løsepengevirusangrep mot sjømatprodusenten, som også har restaurantvirksomhet på Leknes i Nordland.
Les også

Lofoten Seafood er hacket: Flere gigabyte med interne dokumenter er lekket på nettet

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.