Aktiv utnyttelse av kritisk sårbarhet i Exchange/OWA
NCSC ønsker å videreformidle et varsel mottatt av HelseCERT om aktiv utnyttelse av en Microsoft Exchange-sårbarhet som fikk sikkerhetsoppdateringer i november. Vi støtter forøvrig HelseCERTs vurdering om at det vil utgjøre en høy risiko å la internetteksponerte systemer stå uten sikkerhetsoppdateringer.
NCSC anbefaler derfor at systemeiere installerer sikkerhetsoppdateringene som ble publisert i november, sekundært også for desember, så fort det lar seg gjøre.
Oppsummering:
Forvent at On-Premise Exchange med internett-eksponert OWA vil bli kompromittert hvis oppdatering fra 8. november 2022 / KB5019758 ikke er installert. Denne kompromitteringen vil videre sannsynlig medføre både kompromittering og kryptering av virksomhetens systemer i sin helhet.
Situasjon:
En kritisk sårbarhet (OWASSRF) som ble lukket i november i on-premise Microsoft Exchange/Outlook Web Access blir nå aktivt utnyttet [1][2] av angripere som bruker løsepengevirus/krypteringsvirus/ransomware av typen Play.
Sårbarheten kan gi RCE (Remote Code Execution) via Outlook Web Access (OWA), i stedet for via Autodiscover-endepunktet som var tilfellet i sårbarheten kjent som ProxyNotShell (CVE-2022-41082), og som Microsoft slapp mitigeringer for mot slutten av september. Disse mitigeringene er ikke tilstrekkelige for å forhindre kompromittering hvor OWASSRF utnyttes. Se varsel fra sikkerhetsselskapene CrowdStrike[1] og Rapid7[2] for tekniske detaljer.
OWASSRF ble avdekket av CrowdStrike. Deres analyser knytter OWASSRF til sårbarhetene CVE-2022-41080 og CVE-2022-41082, som ble lukket i:
- - 8. november 2022, oppdatering: KB5019758
Er oppdateringen installert, er din virksomhet trygg mot denne angrepsteknikken.
Er ikke oppdateringen installert, er din virksomhet i fare for å rammes.
Vår vurdering er at det medfører en uakseptabelt høy risiko å la internetteksponerte systemer stå upatchet. På grunn av de omfattende rettighetene Exchange Server har, vil veien til å oppnå domeneadministratortilgang og full kontroll over virksomhetens systemer normalt være kort om Exchange Server blir kompromittert.
En risikoreduserende faktor er at angriper er nødt til å kjenne til et gyldig brukernavn og passord for en vanlig bruker på den aktuelle Exchange-serveren. Imidlertid er vår erfaring at det å finne eller gjette et slikt passord ikke er spesielt krevende med mindre passordpolicy er satt relativt strengt. Det er likevel en faktor som forhindrer umiddelbar masseutnyttelse.
Sårbare produkter er[3]:
- - Microsoft Exchange Server 2013
- - Microsoft Exchange Server 2016
- - Microsoft Exchange Server 2019
Hvis du har oppdatert vil du ha en av følgende versjoner:
- - Exchange Server 2019 CU12: 15.2.1118.20
- - Exchange Server 2019 CU11: 15.2.986.36
- - Exchange Server 2016 CU23: 15.1.2507.16
- - Exchange Server 2016 CU22: 15.1.2375.37
- - Exchange Server 2013 CU23: 15.0.1497.44
Anbefaling:
- - Oppdater sårbare on-prem exchange servere med internett-eksponert OWA umiddelbart
- - Alternativt, skru av OWA til man får dette gjort
- - CrowdStrike sitt varsel rundt dette har flere andre hensiktsmessige tiltak, men de over bør prioriteres
- - Sjekk om det er forsøkt utnyttelse i logger, CrowdStrike har et script for å sjekke dette [4]
Du kan finne hvilken Microsoft Exchange Server build som kjører[5] ved å bruke Exchange Server Health Checker script. Det er også to andre alternativer ved å kjøre enkle powershell-kommandoer[6].
Referanser:
- - [1] https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/
- - [4] https://github.com/CrowdStrike/OWASSRF
- - [5] https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/