MICROSOFT EXCHANGE

Exchange Server angripes på nytt via nulldagssårbarheter

Utnyttes aktivt av ukjente angripere. Ingen offisiell sikkerhetsfiks er tilgjengelig.

Microsoft Exchange-kunder er igjen rammet av angrep som utnytter en nulldagssårbarhet i serverprogramvaren.
Microsoft Exchange-kunder er igjen rammet av angrep som utnytter en nulldagssårbarhet i serverprogramvaren. Illustrasjon: Digi.no/Colourbox
Harald BrombachHarald BrombachNyhetsleder
30. sep. 2022 - 11:45 | Endret 30. sep. 2022 - 15:44

Det vietnamesiske IT-sikkerhetsselskapet GTSC oppdaget tidlig i august at en kundes Microsoft Exchange Server var blitt angrepet.

Serveren var oppdatert med de nyeste sikkerhetsoppdateringene, så GTSC kunne under etterforskningen konkludere med at det var blitt utnyttet et par til nå ukjente sårbarheter i programvaren. 

Bakdører og utvidet tilgang

Sårbarhetene åpner til sammen for fjernkjøring av vilkårlig kode. Potensielt kan dette gi en angriper betydelig tilganger på serveren. I angrep som GTSC har observert, har angriperne greid å installere bakdører på serveren og også beveget seg sideveis til andre servere i systemet.

GTCS skal ha fått bekreftet sårbarhetene hos Zero Day Initiative (ZDI-CAN-18333 og ZDI-CAN-18802) og varslet Microsoft om dem. 

I ettertid har GTSC oppdaget at også andre kunder var angrepet via samme sårbarheter. Utnyttelse av sårbarhetene kan observeres i logger med et format som er det samme som har blitt knyttet til den tidligere ProxyShell-sårbarheten.

Hvem som står bak angrepene, er uklart, men GTSC peker på noen små spor som peker i kinesisk retning. De kan selvfølgelig være plantet av angriperne for å villede. 

I rapporten foreslår GTSC et tiltak som kan bidra til å forhindre at angrepsforsøkene lykkes. Det handler om å blokkere spørringer som er rettet mot temmelig spesifikke URL-er.

Microsoft har bekreftet at selskapet har mottatt informasjon om sårbarhetene og har satt i gang etterforskning av dem.

Kl. 15.44: Saken er oppdatert med lenke til informasjon fra Microsoft.

KI-generert: Dette bildet skal angivelig vise Joe Biden i uniform, men er et av de mange falske bildene som er i omløp etter at Iran sendte hundrevis av missiler og droner mot Israel.
Les også

Falske bilder fikk over 37 millioner visninger

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.