Oppdatering 5. mars: Sårbarheter i Microsoft Exchange
Publisert:
Oppdatert:
Følgende er oppdaterte anbefalinger basert på erfaringer NCSC har gjort siste to døgn.
NCSC har observert at patching av sårbar Exchange-server ikke nødvendigvis er tilstrekkelig og at man derfor bør gjøre søk etter tekniske indikatorer selv om man har patchet.
NCSC anbefaler alle virksomheter med berørt Exchange om å patche umiddelbart, samt gjøre undersøkelser etter tegn på kompromittering. Amerikanske CISA anbefaler at man gjør søk tilbake til 1. september 2020 [3].
De tekniske indikatorene kan hentes fra Microsoft, CISA og Volexity [3,4,5]. Microsoft har publisert et PowerShell-script [2] som automatisk kan sjekke relevante loggfiler. Merk at treff på indikatorer ikke automatisk betyr at virksomheten er kompromittert, men at det fordrer ytterligere undersøkelser. FireEye har i tillegg publisert en bloggpost med tips for undersøkelser [6].
Ved treff anbefaler NCSC at virksomheten tar kontakt med relevant responsmiljø og informerer NCSC slik at man har et oppdatert situasjonsbilde over omfanget i Norge.
Som tidligere nevnt understreker NCSC alvoret i situasjonen. Terskel for utnyttelse anses som lav. Full utnyttelse av sårbarhetene vil potensielt føre til kompromittert domenekontroller [3].
Referanser:
[1] Oppdatering: Sårbarheter i Microsoft Exchange (2021-03-04)
[2] https://github.com/microsoft/CSS-Exchange/releases/latest/download/Test-Hafnium.ps1
[3] https://us-cert.cisa.gov/ncas/alerts/aa21-062a
[4] https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
[5] https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
[6] https://www.fireeye.com/blog/threat-research/2021/03/detection-response-to-exploitation-of-microsoft-exchange-zero-day-vulnerabilities.html
NCSC har observert at patching av sårbar Exchange-server ikke nødvendigvis er tilstrekkelig og at man derfor bør gjøre søk etter tekniske indikatorer selv om man har patchet.
NCSC anbefaler alle virksomheter med berørt Exchange om å patche umiddelbart, samt gjøre undersøkelser etter tegn på kompromittering. Amerikanske CISA anbefaler at man gjør søk tilbake til 1. september 2020 [3].
De tekniske indikatorene kan hentes fra Microsoft, CISA og Volexity [3,4,5]. Microsoft har publisert et PowerShell-script [2] som automatisk kan sjekke relevante loggfiler. Merk at treff på indikatorer ikke automatisk betyr at virksomheten er kompromittert, men at det fordrer ytterligere undersøkelser. FireEye har i tillegg publisert en bloggpost med tips for undersøkelser [6].
Ved treff anbefaler NCSC at virksomheten tar kontakt med relevant responsmiljø og informerer NCSC slik at man har et oppdatert situasjonsbilde over omfanget i Norge.
Som tidligere nevnt understreker NCSC alvoret i situasjonen. Terskel for utnyttelse anses som lav. Full utnyttelse av sårbarhetene vil potensielt føre til kompromittert domenekontroller [3].
Referanser:
[1] Oppdatering: Sårbarheter i Microsoft Exchange (2021-03-04)
[2] https://github.com/microsoft/CSS-Exchange/releases/latest/download/Test-Hafnium.ps1
[3] https://us-cert.cisa.gov/ncas/alerts/aa21-062a
[4] https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
[5] https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
[6] https://www.fireeye.com/blog/threat-research/2021/03/detection-response-to-exploitation-of-microsoft-exchange-zero-day-vulnerabilities.html