Ofte stilte spørsmål om sårbarheter i Microsoft Exchange

Publisert: 15.03.2021

Oppdatert: 16.03.2021

De siste ukene har sårbarheter i Microsoft Exchange preget både arbeidshverdagen til IT-sikkerhetsfolk og mediebildet. Vi ser på noen av de viktigste spørsmålene som har dukket opp.

Hvor får man hjelp?

Nasjonalt cybersikkerhetssenter (NCSC) i NSM er knutepunkt for nasjonalt og internasjonalt samarbeid innen deteksjon, håndtering, analyse og rådgivning knyttet til digitale angrep. NCSC opplever nå at mange virksomheter tar kontakt i forbindelse med sårbarhetene i Microsoft Exchange. NCSC har dessverre ikke kapasitet til å bistå alle umiddelbart, men vil prioritere virksomheter av samfunnskritisk betydning.

Andre virksomheter oppfordres til å kontakte sin egen IT-leverandør for assistanse eller leverandører av sikkerhetstjenester.

NSM har opprettet en godkjenningsordning for leverandører som tilbyr tjenester for hendelseshåndtering av dataangrep. Disse selskapene kan være behjelpelige med å løse denne typen utfordringer. Se [1].

Microsoft har også oppdatert informasjon om sårbarhetene med linker til dypere artikler, verktøy og statistikk. [6, 7]

Hvem er potensielt rammet?

Virksomheter som benytter lokal installasjon («on-prem») av programvaren Exchange Server 2013, 2016 og 2019 er potensielt rammet. I hybride løsninger, der deler av løsningen kjører i Exchange Online (sky) og andre deler in-house (Exchange Server) bør også sikre at delen som kjører on-prem blir oppdatert. Exchange er programvare levert av Microsoft for e-posttjeneste for virksomheter.

Hvis Exchange-server(ne) ikke er direkte tilkoblet internett er det mindre sannsynlig at virksomheten er rammet, for eksempel hvis brukstilgang til Exchange kun tillates via VPN. Hvis all tilgang i tillegg er med flerfaktor-autentisering eller sterke passord reduseres risikoen ytterligere. Se [2].

Alle virksomheter oppfordres uansett til å oppdatere programvaren så raskt som mulig for å lukke sårbarheter. Se [3].

Hva risikerer man?

På selve e-postserveren (Exchange) kan man risikere blant annet at:

Uvedkommende kan få tilgang til brukerkontoer og lese informasjon som e-post, møteinnkallinger, osv., inkludert vedlegg. Virksomheter som bruker e-post til sensitiv informasjon kan få denne kompromittert.
Utgående falske e-poster fra virksomhetens legitime brukerkonti. Dette kan f.eks. benyttes til å svindle andre virksomheter eller sende spam og skadevare.
Databasen med opplysninger om alle brukere kan bli kompromittert.
Virksomhetens e-posttjeneste kan bli utsatt for handlinger som resulterer i at tjenesten blir utilgjengelig.

Disse eksemplene kan forekomme selv om man har oppdatert programvaren, hvis angriper utnyttet sårbarhetene før sikkerhetsoppdateringene ble installert.

Exchange-serveren kan benyttes som et brohode for å komme seg videre inn i virksomhetens andre IKT-systemer. Man kan for eksempel risikere følgende i hele eller deler i sin IKT-infrastruktur:

Installasjon av skadevare, inkludert løsepengevirus.
Kompromittering eller manipulering av virksomhetens data og tjenester.
Kompromittering av virksomhetens domene-kontroller, og dermed potensielt hele systemet til virksomheten.

Flere av disse eksemplene er allerede observert, og øker i antall.

Hva bør man gjøre først?

Disse tiltakene kan vurderes før virksomheten starter arbeidet med å sjekke om man allerede er angrepet.

Installer sikkerhetsoppdateringene fra leverandøren. Selv om virksomheten ikke er kompromittert i dag, kan den bli det senere hvis ikke serverne er oppdatert. Prioriter først de serverne som har direkte internett-tilgang (de som ikke beskyttet med VPN eller annen nettverks-beskyttelse). Som oftest gjelder det spesielt servere med «Outlook Web Access» aktivert. Deretter må øvrige servere oppdateres. Hvis man ikke kan oppdatere serveren raskt, bør andre risikoreduserende sikkerhetstiltak iverksettes i stedet. Se [3]. Det presiseres at et oppdatert system ikke betyr at man ikke kan ha blitt kompromittert før man utførte oppdateringen. Utfør de sjekkene/testene som er angitt i neste avsnitt.
Vurder om Exchange skal kobles fra inntil disse tiltakene er gjennomført og man har undersøkt nærmere (se neste avsnitt). Hvis «Outlook Web Access (OWA)» er tilgjengelig uten øvrige sikringstiltak (for eksempel uten bruk av VPN) bør man vurdere å sku av OWA.
Ta sikkerhetskopi (backup) av Exchange og operativsystemet (inkludert logger). Merk at denne sikkerhetskopien ikke bør benyttes til gjenoppretting før man er sikker på at man ikke er angrepet. Det er mulig at den siste sikkerhetskopien inkluderer e-poster, vedlegg, konfigurasjonsdata og kontoer som er opprettet av angriper. Denne backupen bør lagres adskilt og helst «offline» og kan senere bli benyttet som en del av en mulig etterforskning.

Hvordan sjekker man om man er kompromittert?

Microsoft har offentliggjort scripts og oppskrifter som sjekker om angriper har installert bakdører på systemet. Se [4] og spesielt avsnittet «Can I determine if I have been compromised by this activity?». Også [5] har nyttig hjelp.

Vær oppmerksom på at angripernes modus operandi stadig endres. Oppskriftene nevnt er derfor ingen garanti for å finne alt som en angriper har utført i forbindelse med et mulig angrep. Følg derfor med på lenkene angitt nederst i tiden fremover for mulige oppdateringer.

Hva skal man gjøre hvis det er mistanke om kompromittering?

Hvis man oppdager at e-postserveren er kompromittert, kan det være utfordrende å avdekke alt en angriper har utført. Skal man være helt sikker på å få fjernet alt, må all programvare på e-postserveren reinstalleres. Også operativsystemet (Windows Server) må reinstalleres. Benytt anledningen til å oppgradere til siste utgave av Windows Server og Exchange. Deretter må man laste inn all data og brukerkontoer fra siste tiltrodde backup.

Hvis e-postservere er kompromittert, kan angriper ha benyttet disse som et brohode inn i virksomhetens øvrige IKT-systemer. Virksomheten bør undersøke om øvrig IKT-infrastruktur også er kompromittert. Merk spesielt at hvis man har benyttet konto med domene-admin rettigheter til å administrere e-post serveren, er veien kort for angriper til å få kontroll på virksomhetens domenekontroller.

Vurder å ta kontakt med en av de NSM-godkjente selskapene som kan bistå i håndtering av dataangrep, se [1].

Andre anbefalinger

Kompromittering med aktiv utnyttelse bør anmeldes til lokalt politi.
NSM anmoder om at kompromittering med aktiv utnyttelse rapporteres inn til [email protected], slik at vi kan vedlikeholde et nasjonalt situasjonsbilde.
Man bør vurdere passordbytte på alle kontoer på Exchange-serverne. Som minimum bør dette utføres for alle kontoer for drift av Exchange og operativsystemet. Dette kan være tidkrevende, så man bør sjekke for kompromittering først.
Hvis kontoer for drift av e-postserveren også har domene-admin rettigheter, kan problemet være enda større. Slike rettigheter bør fjernes omgående, samt at passord raskt bør byttes. Dette for å sikre virksomhetens øvrige IKT-infrastruktur, ikke bare e-postserveren.
For brukere som skal lese e-post bør det innføres sikringstiltak som for eksempel kun lesing via virksomhets-VPN. Det bør være unødvendig for de fleste at virksomhetens e-postserver skal være tilgjengelig for brukerne fra alle verdens datamaskiner.
På Exchange server, deaktivere lite/ikke brukte protokoller som kan misbrukes, eksempelvis IMAP, IMAPS, POP, POPS og HTTP (uten «s»).
På Exchange-server, fas ut bruken av eldre funksjoner som ActiveSync, som ikke støtter fler-faktor autentisering.
Foreta en gjennomgang av virksomhetens regler for tilgang til e-post utenfor virksomhetens eget nett, med målsetning om å begrense sårbarhetsflaten.