MICROSOFT EXCHANGE

Exchange Server angripes på nytt via nulldagssårbarheter

Utnyttes aktivt av ukjente angripere. Ingen offisiell sikkerhetsfiks er tilgjengelig.

Microsoft Exchange-kunder er igjen rammet av angrep som utnytter en nulldagssårbarhet i serverprogramvaren.
Microsoft Exchange-kunder er igjen rammet av angrep som utnytter en nulldagssårbarhet i serverprogramvaren. Illustrasjon: Digi.no/Colourbox
Harald BrombachHarald BrombachNyhetsleder
30. sep. 2022 - 11:45 | Endret 30. sep. 2022 - 15:44

Det vietnamesiske IT-sikkerhetsselskapet GTSC oppdaget tidlig i august at en kundes Microsoft Exchange Server var blitt angrepet.

Serveren var oppdatert med de nyeste sikkerhetsoppdateringene, så GTSC kunne under etterforskningen konkludere med at det var blitt utnyttet et par til nå ukjente sårbarheter i programvaren. 

Bakdører og utvidet tilgang

Sårbarhetene åpner til sammen for fjernkjøring av vilkårlig kode. Potensielt kan dette gi en angriper betydelig tilganger på serveren. I angrep som GTSC har observert, har angriperne greid å installere bakdører på serveren og også beveget seg sideveis til andre servere i systemet.

GTCS skal ha fått bekreftet sårbarhetene hos Zero Day Initiative (ZDI-CAN-18333 og ZDI-CAN-18802) og varslet Microsoft om dem. 

I ettertid har GTSC oppdaget at også andre kunder var angrepet via samme sårbarheter. Utnyttelse av sårbarhetene kan observeres i logger med et format som er det samme som har blitt knyttet til den tidligere ProxyShell-sårbarheten.

Hvem som står bak angrepene, er uklart, men GTSC peker på noen små spor som peker i kinesisk retning. De kan selvfølgelig være plantet av angriperne for å villede. 

I rapporten foreslår GTSC et tiltak som kan bidra til å forhindre at angrepsforsøkene lykkes. Det handler om å blokkere spørringer som er rettet mot temmelig spesifikke URL-er.

Microsoft har bekreftet at selskapet har mottatt informasjon om sårbarhetene og har satt i gang etterforskning av dem.

Kl. 15.44: Saken er oppdatert med lenke til informasjon fra Microsoft.

Dr. Guru Bhandari ved SEIT Kristiania har utviklet en KI-løsning som kan oppdage sårbarheter i IOT-kode i sanntid.
Les også

Norsk teknologi: Fikser sårbar kode automatisk

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Tekjobb-Indeksen 2024!
Les mer
Tekjobb-Indeksen 2024!
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra