ESET-kundevejledning 2021-0004
11. marts 2021
Alvorlighed: Kritisk
Sammenfatning
Den 2. marts 2021 offentliggjorde Microsoft oplysninger om kritiske sårbarheder i deres Exchange Server 2013, 2016 og 2019. Disse sårbarheder gør det muligt for en fjernangriber at tage kontrol over enhver Exchange-server, der kan nås via internettet, uden at kende nogen adgangsoplysninger. Samtidig frigav Microsoft også rettelser til disse sårbarheder, og ESET anbefaler på det kraftigste at installere dem så hurtigt som muligt.
Detaljer om sårbarhederne
Sårbarhedernes karakter gør det muligt at installere en webshell på serveren, som derefter kan fungere som indgang til yderligere malwareinstallation. ESET Security-produkter registrerer følgende webshells og bagdøre, der bruges i udnyttelsesprocessen:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
I betragtning af den høje udnyttelsesgrad og det faktum, at flere trusselsaktører aktivt scanner internettet for at finde servere, der kan udnyttes, forventes det, at de fleste servere, der er åbne for internettet, kan være blevet kompromitteret. For at forhindre yderligere udnyttelse er det nødvendigt at installere de tilgængelige opdateringer fra Microsoft så hurtigt som muligt.
Opdateringerne renser dog ikke allerede kompromitterede servere. Det er derfor nødvendigt at foretage en undersøgelse og søge efter rester af kompromittering og malware eller spor af malware i miljøet samt ændre adgangsoplysningerne.
For yderligere dybdegående analyse og detaljer om afhjælpning af en kompromitteret server henvises til ESET's WeLiveSecurity-blogindlæg på https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/.
Bemærk: En af sårbarhederne påvirker også Exchange Server 2010. Det er ikke det første trin i angrebskæden, men der blev udsendt en patch af hensyn til dybdeforsvaret. Det anbefales stadig at undersøge for potentiel udnyttelse.
Feedback og support
Hvis du har feedback eller spørgsmål om dette problem, bedes du kontakte os via ESET Security Forum eller via den lokale ESET Technical Support.
Ressourcer
- Exchange-servere under belejring fra mindst 10 APT-grupper - ESET's WeLiveSecurity-blogindlæg
- ESET Researchs første tweets
- Beskytter ESET mig mod Hafnium zero-day exploit i Microsoft Exchange? - ESET Knowledgebase-artikel
- CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 - sårbarhedsdetaljer på Microsoft Security Response Center
- HAFNIUM retter sig mod Exchange-servere med 0-dages udnyttelser - Microsoft Security blogindlæg
- Flere sikkerhedsopdateringer frigivet til Exchange Server - blogindlæg fra Microsoft Security Response Center
- Afhjælpning af sårbarheder iMicrosoft Exchange Server - blogindlæg fra Microsoft Security Response Center
- Marts 2021 Exchange Server-sikkerhedsopdateringer til ældre kumulative opdateringer af ExchangeServer - Exchange Team-blogindlæg på Microsoft Tech Community
Versionslog
Version 1.0 (11. marts 2021): Første version af dette dokument
