Nýlega birtust upplýsingar opinberlega um að hakkarahópur væri að nýta sér áður óþekkta veikleika í Microsoft Exchange póstþjónum sem fyrirtæki reka sjálf eða í gegnum þjónustuaðila, það er ekki Office 365.
Veikleikarnir voru til staðar í Microsoft Exchange útgáfum 2013, 2016 og 2019 og eru eftirfarandi:
Þessir veikleikar gerðu það að verkum að hakkarahópurinn gat búið til bakdyr inn á póstþjón sem hægt er að nota til að ná stjórn á póstþjóninum og komast þannig í viðkvæm gögn fyrirtækja, jafnvel komast yfir notendaaðganga.
Í kjölfar þess að upplýsingarnar um Microsoft voru opinberaðar fóru fleiri hakkarahópar að nýta sér sömu veikleika til að ná stjórn á póstþjónum fyrirtækja. Í dag eru að lágmarki 10 virkir hópar að reyna að notast við veikleikana.
Markmið hakkarahópa með þessum árásum eru misjöfn. Hingað til hafa verið greind atvik sem innihalda t.d.:
Í ofangreindum atvikum notuðust árásaraðilar við hugbúnað sem er mikið notaður af kerfisstjórum, þar á meðal hugbúnaðinn PowerShell.
Nú þegar er vitað um tugi þúsunda póstþjóna í yfir hundrað löndum sem hafa orðið fyrir barðinu á árásaraðilum sem notast hafa við veikleika Microsoft Exchange og ljóst er að ekki sér enn fyrir endann á þessu þar sem uppfærslustjórnunarferlum er oft á tíðum ábótavant hjá fyrirtækjum.
Microsoft hefur gefið út öryggisuppfærslur vegna fyrrnefndra veikleika, auk þess að hafa gefið út svokallað Health Checker script til að greina hvort veikleikinn eigi við innviðina.
Hafa ber þó í huga að ef verið er að keyra Microsoft Exchange 2013, 2016 eða 2019, að þá voru fyrrnefndir veikleikar greindir og þrátt fyrir að búið sé að uppfæra Exchange með nýjustu öryggisuppfærslum er enn mögulegt að árásaraðili hafi komið fyrir bakdyrum sem hægt er að notast við síðar meir. Þetta er vegna þess að öryggisuppfærslurnar hreinsa ekki það sem búið er að gera af árásaraðila, heldur einungis lokar á frekari árásir með þessum veikleikum.
Það er því afar mikilvægt að framkvæma sérstakar skoðanir á því hvort mögulegt sé að bakdyrum hafa verið komið fyrir í umhverfum þar sem Exchange þjónar eru til staðar og gera þá viðeigandi ráðstafanir.
Microsoft hefur getið út svokallað script sem fer yfir atburðaskrár Exchange þjóna og greinir ákveðin merki um innbrot. Hafa ber þó í huga að mögulegt er að atvikin komi ekki fram í atburðaskrám Exchange, bæði vegna þess að aðrar aðferðir gætu hafa verið notaðar og árásaraðili gæti verið búinn að hreinsa atburðaskrárnar.
Auðvitað er ekki nægjanlegt að bregðast við veikleikum sem þessum afturvirkt heldur þurfa fyrirtæki að vera með forvarnir í lagi svo sem uppfærslustjórnun, vöktun netkerfa og notast við öruggar stillingar kerfa.
Úlfar Andri Jónasson er liðsstjóri í netöryggisráðgjöf Deloitte á Íslandi. Hann er með ýmsar vottanir tengdar upplýsingaöryggi, þar á meðal Certified Information Systems Security Professional (CISSP) og Certified Information Systems Auditor (CISA). Úlfar hefur stjórnað og framkvæmt fjölda úttekta á upplýsingaöryggismálum viðskiptavina Deloitte, þar á meðal veikleikagreiningar, innbrotsprófanir og kóðarýni. Þá hefur Úlfar aðstoðað fyrirtæki við hönnun og innleiðingu stýringa tengdu netöryggi og innra eftirliti, auk þess að hafa víðtæka reynslu í kerfisstjórnun og ýmsar vottanir frá Microsoft í kerfisrekstri. Úlfar er meðlimur í evrópsku viðbragðsteymi Deloitte vegna netöryggisógna og innbrota í tölvukerfi.