Nok en gang har det blitt funnet en alvorlig sårbarhet (CVE-2021-42321) i Microsoft Exchange Server, og også denne gangen har den blitt utnyttet i angrep før en sikkerhetsfiks har vært tilgjengelig.
Microsoft kom med en sikkerhetsoppdatering på tirsdag som fjerner sårbarheten, og i et blogginnlegg skriver selskapet at oppdateringen bør installeres umiddelbart.
Sikkerhetsoppdateringen er tilgjengelig for Exchange Server 2013, 2016 og 2019.
Krever autentisering
Sårbarheten åpner for fjernkjøring av vilkårlig kode, men er en såkalt post-autentiseringssårbarhet, det vil si at den krever at angriperen allerede er innlogget i systemet, typisk med brukernavn og passord som har blitt stjålet.
Flerfaktorautentisering kan gjøre slike innbrudd vanskeligere, men vil ikke hindre utnyttelse av sårbarheten dersom angriperen allerede har fått logget seg på.
Exchange-administratorer kan ifølge Microsoft sjekke om den aktuelle sårbarheten har blitt utnyttet ved hjelp av følgende Powershell-spørring i Event-loggen:
Get-WinEvent -FilterHashtable @{ LogName='Application'; ProviderName='MSExchange Common'; Level=2 } | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }
Det har blitt oppdaget mange sårbarheter i Exchange Server i år, og mange virksomheter – inkludert Stortinget – har blitt rammet av angrep som har utnyttet disse.
Check Point: Du løper en høy risiko ved å eksponere Exchange direkte på internett
