NCSC stiller seg bak HelseCERT sine anbefalinger om å avdekke sårbare, eksponerte Exchange-komponenter, samt å implementere mitigerende tiltak slik Microsoft beskriver i sin artikkel [1].

NCSC er ikke kjent med aktiv utnyttelse av sårbarhetene i Norge.

HelseCERT har blitt kjent med to sårbarheter i Microsoft Exchange, som sammen kan brukes for å la en autentisert angriper kjøre vilkårlig kode mot Exchange-serveren[1][2][3][4]. Den første, CVE-2022-41040 tillater Server Side Request Forgery, og den andre, CVE-2022-41082, tillater kjøring av vilkårlig kode dersom angriper har tilgang til PowerShell.

Angriper er avhengig av å ha autentisert tilgang til Exchange-serveren som vanlig bruker for å kunne utnytte sårbarhetene [1]. Dette kan eksempelvis skaffes via phishing.

Sårbarheten gjelder ikke Microsoft Exchange Online [1], men dersom man har en hybrid Exchange-løsning bør man dobbeltsjekke om man har sårbare komponenter eksponert. Dersom man har lokal Exchange publisert kan man være sårbar.

Sårbarhetene er observert aktivt utnyttet. Microsoft beskriver utnyttelse i målrettede angrep [1] mens andre beskriver at dette også har truffet honeypots [2]. Den enkelte virksomhet må derfor forvente at dette kan treffe egne installasjoner, selv om kode for å utnytte sårbarheten enn så lenge ikke er offentlig tilgjengelig så langt vi kjenner til.

Det er enda ikke sluppet en oppdatering som lukker sårbarheten, men det finnes mitigerende tiltak som vil kunne stoppe angrepene som er blitt observert. Mitigeringen innebærer å legge inn en "blocking rule" i IIS Manager, som beskrevet i Microsoft sin artikkel om sårbarheten [1].

Anbefaling:

Vi anbefaler at alle som har Exchange tilgjengelig mot internett gjennomfører mitigeringstiltakene som er beskrevet av Microsoft så raskt det lar seg gjøre.

Referanser:

[1] - https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

[2] - https://www.bleepingcomputer.com/news/security/new-microsoft-exchange-zero-days-actively-exploited-in-attacks/

[3] - https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

[4] - https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9\