[JustisCERT-varsel] [#017-2021] [TLP:CLEAR] Oppdatering om kritiske 0-dagssårbarheter i Microsoft Exchange on-prem

I forbindelse med den pågående Exchange situasjonen ønsker JustisCERT at din virksomhet laster ned siste versjon av Microsoft «Test-ProxyLogon.ps1» [1] og kjører dette på alle servere med en Exchange-rolle. Dette kan avdekke om virksomhetens Exchange-servere er kompromittert.

Berørte produkter:

• On-prem installasjoner av Microsoft Exchange 2013, 2016 og 2019
• Microsoft Exchange 2010 (end of life)

Anbefalinger:

• Sørg for at alle Exchange-servere har patch fra 2. mars installert (KB5000871)
• Sjekk om Exchange-servere er kompromittert med PS-script «Test-ProxyLogon.ps1» fra Microsoft [1]. Kjør scriptet på alle Exchange-servere i virksomheten.
  • Kontakt JustisCERT ved treff.
• Beskytt on-prem installasjoner bak andre løsninger med MFA (som MDM/VPN osv.) slik at ingen tjenester er direkte eksponert mot internett
• Dersom virksomheten har/må ha Exchange eksponert direkte mot internett:
  • Benytt GEO-blokking slik at kun f.eks. Norge kan besøke den eksponerte tjenesten
  • Sjekk alle utgående FW-regler mot internett, sørg for at det ikke er åpnet for annen trafikk enn det som er helt nødvendig
  • Sjekk alle inngående FW-regler fra internett, sørg for at det ikke er åpnet for annen trafikk enn det som er helt nødvendig
  • Sjekk all trafikk mellom virksomhetens ulike FW-soner, sørg for at det ikke er åpnet for annen trafikk enn det som er helt nødvendig
  • Benytt aktuelle IPS-regler i FW for å beskytte internett-eksponerte tjenester
  • Legg en plan for å flytte Exchange bak en MDM/VPN-løsning eller ta i bruk en skyløsning med støtte for MFA
• Ring JustisCERT vakttelefon om virksomheten ønsker bistand

Kilder:

[1] https://github.com/microsoft/CSS-Exchange/tree/main/Security