Følgende er oppdatert informasjon og tiltak basert på observasjoner og erfaringer NSM Nasjonalt cybersikkerhetssenter har gjort siden forrige varsel.

NCSC observerer at det fortsatt pågår aktiv utnyttelse av sårbarhetene. NCSC er i tillegg kjent med flere virksomheter som ble kompromittert rett før patching. Det anbefales derfor at en gjør søk etter indikatorene uavhengig av når man patchet.

Utnyttelseskode for CVE-2021-26855 ble i går kveld publisert på nett [1,2], noe som gjør utnyttelse av sårbarheten enklere og mer tilgjengelig for andre aktører. Man må forvente aktiv utnyttelse med annen payload som f.eks. løsepengevirus.

Microsoft har oppdatert sitt PowerShell-skript [2] flere ganger siden opprinnelig versjon, som nå også har endret navn fra Test-Hafnium.ps1 til Test-ProxyLogon.ps1. NCSC anbefaler at man alltid benytter siste versjon av skriptet, og at virksomheter som har kjørt tidligere versjoner for sikkerhets skyld kjører det nyeste skriptet en ekstra gang. Som tidligere nevnt betyr ikke treff fra skriptet nødvendigvis kompromittering, men resultatene må sees i sammenheng med andre funn og bør undersøkes nøye.

NCSC gjentar at virksomheter med treff bør ta kontakt med relevant responsmiljø og informere NCSC slik at vi opprettholder et oppdatert situasjonsbilde over omfanget i Norge.

[1] https://github.com/Udyz/CVE-2021-26855

[2] https://github.com/microsoft/CSS-Exchange/tree/main/Security