[JustisCERT-varsel] [#064-2022] [TLP:CLEAR] 0-dagssårbarheter i on-prem Microsoft Exchange Server
JustisCERT ønsker å varsle om 2 nulldagssårbarheter som berører on-prem Microsoft Exchange Server. Sårbarhetene er kjent som CVE-2022-41040 og CVE-2022-41082 (CVSS-score 6.3 - 8.8). Angriper må være autentisert for å utnytte disse sårbarhetene og virksomhetens on-prem Exchange Server må være eksponert for angriper (f.eks. på internett) med en Web App tjeneste. Sårbarhetene er observert aktivt utnyttet.
Microsoft anbefaler at mitigerende tiltak innføres på alle berørte systemer og at oppdatering installeres så snart denne foreligger. [1]
JustisCERT minner om viktigheten av å være på en støttet Exchange Cumulative Update (CU). Dette er nødvendig for å få sikkerhetsoppdateringer. Microsoft Exchange Cumulative oppdateringer (CU) slippes ca hver 3. måned. Virksomheter med on-prem Exchange må alltid benytte siste eller nest siste CU for å motta sikkerhetsoppdateringer. For å se hvilken Exchange CU som er installert, start Exchange Management Shell på hver eneste Exchange-server og kjør kommandoen «Get-command ExSetup | %{$_.Fileversioninfo}» eller «Get-Command Exsetup.exe | ForEach {$_.FileVersionInfo}». Sammenlign build nummer du da får med Microsoft sin oversikt for å verifisere at siste CU og oppdatering er installert. [2]
Siste tilgjengelig CU og oppdatering for on-prem Exchange er pr 30. september 2022:
- Exchange Server 2019 CU12, august 2022 update (Build number 15.2.1118.12/15.02.1118.012)
- Exchange Server 2016 CU23, august 2022 update (Build number 15.1.2507.12/15.01.2507.012)
- Exchange Server 2013 CU23, august 2022 update (Build number 15.0.1497.40/15.00.1497.040)
Berørte produkter er:
- Microsoft Exchange Server 2019
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2013
Anbefalinger:
- Utfør mitigerende tiltak på berørte systemer
- Patch/oppdater berørte produkter så snart det er mulig
- Skru på automatisk oppdatering der det er mulig
- Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
- Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
- Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
- Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
- Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
- Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/Web-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
- Følg NSM Grunnprinsipper for IKT-sikkerhet [3]
- Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [4]
Kilder:
[1] https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
[2] https://learn.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
[3] https://nsm.no/grunnprinsipper-ikt
[4] https://www.cisa.gov/shields-up