Exchange Server er kanskje det Microsoft-produktet som er mest utsatt for cyberangrep for tiden. En serie kritiske sårbarheter er under angrep.
Dette gjelder virksomheter som kjører Microsoft Exchange («on premise») – og de som har Outlook Web Access (OWA) eksponert mot internett. Microsofts abonnementsbaserte skytjeneste er ikke berørt.
I november kom Microsoft med sikkerhetsoppdateringer til ProxyNotShell, som er en kjede av kritiske sårbarheter, som har mye til felles med ProxyShell-sårbarhetene som kom under angrep i fjor.
Nasjonalt cybersikkerhetssenter (NCSC) i NSM har publisert advarsel om aktiv utnyttelse av kritiske sårbarhet i Exchange og OWA. Meldingen har bakgrunn i varsling fra kolleger i HelseCERT.
Videre har sikkerhetseksperter fra Crowdstrike nylig identifisert en ny angrepsteknikk døpt OWASSRF, som også kan gi fjernaksess på berørte systemer.
Forvent full kompromittering og løsepengevirus
De kritiske sårbarhetene blir aktivt utnyttet av trusselaktører, som blant annet benytter løsepengevirus av typen «Play».
Det klare rådet til systemeiere er å installere sikkerhetsoppdateringene som ble tilgjengeliggjort i november, sekundært også for desember, så fort det lar seg gjøre. Hvis det ikke er mulig, så bør løsningen deaktiveres.
– I motsatt fall er det bare å forvente at Exchange Server on-premise med OWA vil bli kompromittert. Det vil sannsynligvis medføre både datainnbrudd og kryptering av virksomhetens systemer i sin helhet, advarer NCSC.
– Vi støtter forøvrig HelseCERTs vurdering om at det vil utgjøre en høy risiko å la internetteksponerte systemer stå uten sikkerhetsoppdateringer.
Automatiserte angrep
En russisk-språklig kriminell hackergruppering kalt Fin7, som har vært aktiv i mer enn 10 år, skal for øvrig ha utviklet en automatisert angrepsplattform, som er spesielt lagd for å bryte seg inn på sårbare Exchange-servere. Det melder Bleeping Computer.