Hafnium

Microsoft lapper fire kritiske sårbarheter i Exchange server som utnyttes i aktive angrep

Haster ut oppdatering mot fire nulldagssårbarheter, som ifølge Microsoft blir utnyttet av en ny statssponset hackergruppe.

Sofistikerte hackere fra Kina angriper fire nulldagssårbarheter i Exchange, ifølge Microsoft som nå ber kundene om å oppdatere berørte systemer så raskt som mulig.
Sofistikerte hackere fra Kina angriper fire nulldagssårbarheter i Exchange, ifølge Microsoft som nå ber kundene om å oppdatere berørte systemer så raskt som mulig. (Illustrasjon: Digi.no/Colourbox)

Haster ut oppdatering mot fire nulldagssårbarheter, som ifølge Microsoft blir utnyttet av en ny statssponset hackergruppe.

«På grunn av alvorlighetsgraden til disse sårbarhetene, anbefaler vi at kundene installerer oppdateringene til berørte systemer umiddelbart», skriver Microsoft i en kunngjøring.

Microsoft haster ut lappesaker til alle støttede versjoner av Exchange server, som skal fjerne i alt fire nyoppdagede kritiske sikkerhetshull, også kalt nulldagssårbarheter. Disse har fått kodene CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, og CVE-2021-27065.

Det er den lokalt installerte varianten («on premise»), ikke skytjenesten Exchange, som er berørt, nærmere bestemt Exchange server 2013, Exchange server 2016 og Exchange server 2019. Videre gis det ut oppdateringer også til Exchange server 2010, noe leverandøren forklarer med hensynet til «dybdeforsvar».

Hafnium: – Sofistikerte hackere fra Kina

De fire sårbarhetene utnyttes i en og samme angrepskjede til å bryte seg inn på servere, stjele epost, samt å plante skadevare for å oppnå langsiktig adgang for ytterligere spionasje, opplyser selskapet.

Microsoft har observert målrettet utnyttelse av de tidligere ukjent sårbarhetene, om enn i et begrenset omfang.

Microsoft Threat Intelligence Center (MSTIC) knytter disse angrepene til en statssponset trusselaktør (advanced persistent threat, APT) fra Kina, som de har valgt å kalle Hafnium.

– Hafnium opererer fra Kina, og det er første gang vi tar opp aktivitetene deres. Det er en dyktig og sofistikert trusselaktør, konstaterer Microsoft i en gjennomgang.

Microsoft konkluderer med kinesisk opphav, samtidig som de skriver at aktøren bedriver sin aktivitet via VPS-servere (virtual private server) i USA, og at gruppa i hovedsak forsøker å hacke amerikanske virksomheter.

Det er ingen tegn til at andre aktører enn Hafnium har misbrukt de fire sårbarhetene, men som Microsoft påpeker, nå som sårbarhetene er kjent, er det trolig bare et spørsmål om tid før andre trusselaktører vil utnytte muligheten til å angripe sårbare systemer.

Oppdateringene som ble gjort tilgjengelig i går er den beste beskyttelsen mot slike angrep, bedyrer leverandøren.

Les også

Kommentarer (1)

Kommentarer (1)
Til toppen