MICROSOFT EXCHANGE

Advarer mot aktiv utnyttelse av Exchange-hull

Systemeiere med on-premise Exchange med internett-eksponert OWA som ikke tar grep umiddelbart kommer til å bli kompromittert. De kan forvente at virksomhetens systemer vil bli kryptert i sin helhet, ifølge sikkerhetsmyndighetene.

Exchange on-prem er igjen utsatt for angrep.
Exchange on-prem er igjen utsatt for angrep. Illustrasjon: Colourbox/Buchachon. Montasje: Digi.no
23. des. 2022 - 17:00

Exchange Server er kanskje det Microsoft-produktet som er mest utsatt for cyberangrep for tiden. En serie kritiske sårbarheter er under angrep.

Dette gjelder virksomheter som kjører Microsoft Exchange («on premise») – og de som har Outlook Web Access (OWA) eksponert mot internett. Microsofts abonnementsbaserte skytjeneste er ikke berørt.

I november kom Microsoft med sikkerhetsoppdateringer til ProxyNotShell, som er en kjede av kritiske sårbarheter, som har mye til felles med ProxyShell-sårbarhetene som kom under angrep i fjor.

Nasjonalt cybersikkerhetssenter (NCSC) i NSM har publisert advarsel om aktiv utnyttelse av kritiske sårbarhet i Exchange og OWA. Meldingen har bakgrunn i varsling fra kolleger i HelseCERT.

Videre har sikkerhetseksperter fra Crowdstrike nylig identifisert en ny angrepsteknikk døpt OWASSRF, som også kan gi fjernaksess på berørte systemer.

Én manns frivillige innsats skal ha reddet dagen ved å oppdaget en subtil bakdør i Linux. Bildet viser operasjonssentralen til Nasjonalt cybersikkerhetssenter
Les også

Utvikler oppdaget Linux-bakdør: – Ville vært en global katastrofe

Forvent full kompromittering og løsepengevirus

De kritiske sårbarhetene blir aktivt utnyttet av trusselaktører, som blant annet benytter løsepengevirus av typen «Play».

Det klare rådet til systemeiere er å installere sikkerhetsoppdateringene som ble tilgjengeliggjort i november, sekundært også for desember, så fort det lar seg gjøre. Hvis det ikke er mulig, så bør løsningen deaktiveres.

– I motsatt fall er det bare å forvente at Exchange Server on-premise med OWA vil bli kompromittert. Det vil sannsynligvis medføre både datainnbrudd og kryptering av virksomhetens systemer i sin helhet, advarer NCSC.

– Vi støtter forøvrig HelseCERTs vurdering om at det vil utgjøre en høy risiko å la internetteksponerte systemer stå uten sikkerhetsoppdateringer.

Automatiserte angrep

En russisk-språklig kriminell hackergruppering kalt Fin7, som har vært aktiv i mer enn 10 år, skal for øvrig ha utviklet en automatisert angrepsplattform, som er spesielt lagd for å bryte seg inn på sårbare Exchange-servere. Det melder Bleeping Computer

Sjef for Nasjonalt cyberkrimsenter (NC3), Olav Skard, står på søkerlisten på den ledige jobben som direktør for Nasjonal sikkerhetsmyndighet etter at Sofie Nystrøm gikk av i desember i 2023.
Les også

Profiltung søkerliste til jobben som NSM-direktør

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.