Varsel: Aktiv utnyttelse av sårbarheter i Microsoft Exchange

Sårbarhetene i Microsoft Exchange [1] som NCSC varslet om tirsdag kveld [2] er nå under aktiv utnyttelse av avanserte og ikke-avanserte trusselaktører.

Industrien rapporterer om bred scanning og utnyttelse "in the wild" i tillegg til målrettede angrep. Sikkerhetsselskapet ESET melder at flere aktører utnytter sårbarheten [7,8]. Det er sannsynlig at løsepengevirus-aktører vil utnytte sårbarheten i løpet av kort tid.

NCSC understreker at det ikke er tilstrekkelig å kun installere sikkerhetspatchene fra Microsoft da de ble publisert. Alle virksomheter bør også undersøke sine Exchange-løsninger etter tegn på kompromittering som beskrevet av CISA, Microsoft og Volexity [1,3,5,6].

Virksomheter som ikke patchet innen utgangen av onsdag 3. mars 2021 bør anse sin Exchange som mulig kompromittert. Microsoft og CISA har publisert gode anbefalinger om hva virksomheten bør undersøke [3,5,6,9,10,11]. Hvis virksomheten ikke er i stand til å gjøre undersøkelsene selv, bør man søke bistand hos et responsmiljø.

Enkelte kilder melder at bred, aktiv utnyttelse kan ha startet så tidlig som 27. februar [12].

Onsdag kveld annonserte amerikanske CISA at de iverksetter nøddirektivet for å sikre at deres underlagte virksomheter og organisasjoner iverksetter beskyttende tiltak [4].

NCSC vurderer det som meget sannsynlig at avanserte og ikke-avanserte trusselaktører har utnyttet og vil fortsette å utnytte disse sårbarhetene i sine nettverksoperasjoner mot norske virksomheter.

Referanser: