Exchange Server er kanskje det Microsoft-produktet som er mest utsatt for cyberangrep for tiden. En serie kritiske sårbarheter er under angrep.
Dette gjelder virksomheter som kjører Microsoft Exchange («on premise») – og de som har Outlook Web Access (OWA) eksponert mot internett. Microsofts abonnementsbaserte skytjeneste er ikke berørt.
I november kom Microsoft med sikkerhetsoppdateringer til ProxyNotShell, som er en kjede av kritiske sårbarheter, som har mye til felles med ProxyShell-sårbarhetene som kom under angrep i fjor.
Nasjonalt cybersikkerhetssenter (NCSC) i NSM har publisert advarsel om aktiv utnyttelse av kritiske sårbarhet i Exchange og OWA. Meldingen har bakgrunn i varsling fra kolleger i HelseCERT.
Videre har sikkerhetseksperter fra Crowdstrike nylig identifisert en ny angrepsteknikk døpt OWASSRF, som også kan gi fjernaksess på berørte systemer.
Justisministeren: – Jeg vil ikke ta Deepseek i bruk
Forvent full kompromittering og løsepengevirus
De kritiske sårbarhetene blir aktivt utnyttet av trusselaktører, som blant annet benytter løsepengevirus av typen «Play».
Det klare rådet til systemeiere er å installere sikkerhetsoppdateringene som ble tilgjengeliggjort i november, sekundært også for desember, så fort det lar seg gjøre. Hvis det ikke er mulig, så bør løsningen deaktiveres.
– I motsatt fall er det bare å forvente at Exchange Server on-premise med OWA vil bli kompromittert. Det vil sannsynligvis medføre både datainnbrudd og kryptering av virksomhetens systemer i sin helhet, advarer NCSC.
– Vi støtter forøvrig HelseCERTs vurdering om at det vil utgjøre en høy risiko å la internetteksponerte systemer stå uten sikkerhetsoppdateringer.
Automatiserte angrep
En russisk-språklig kriminell hackergruppering kalt Fin7, som har vært aktiv i mer enn 10 år, skal for øvrig ha utviklet en automatisert angrepsplattform, som er spesielt lagd for å bryte seg inn på sårbare Exchange-servere. Det melder Bleeping Computer.
Sjokklekkasje av 15.000 brannmurer: – Krise!
