Det er nå mer enn én måned siden Microsoft kom med sikkerhetsoppdateringer som fjerner de såkalte ProxyLogon-sårbarhetene i Exchange Server. Disse sårbarhetene gjør det blant annet mulig for angripere å installere bakdører på de sårbare serverne, noe de har gjort i ganske stor utstrekning.
Til tross for at dette sikkerhetsproblemet har vært svært mye omtalt både av sikkerhetsaktører, pressen og Microsoft selv, er det mange Exchange-servere der ute som tilsynelatende er overlatt til seg selv. På mange av disse er det nå installert én eller flere bakdører som kan utnyttes av angripere.
HP med urovekkende funn
Fjerner kjent webshell
Dette har ført til at FBI har gjennomført en temmelig oppsiktsvekkende og uvanlig operasjon. Med en ransakingsordre fra den 9. april i hånden har spesialagenter tatt seg inn på amerikanske Exchange-servere via én av de kjente webshell-baserte bakdørene og fjernet nettopp denne bakdøren, som har vært identifiserbar gjennom en unik filsti. Dette skal tilsynelatende ha skjedd uten at serveradministratorene har fått beskjed om det.
Begrunnelsen for å gjøre dette, er at det vil forhindre ondsinnede cyberaktører i å bruke bakdøren til å få ytterligere tilgang til serveren og å installere mer skadevare på dem, samtidig som de berørte servereierne ikke har respondert på oppfordringer å løse problemene selv.
I utgangspunktet har FBI bedt om å gjennomføre operasjonen over en periode på 14 dager, noe som betyr at den fortsatt pågår. Så langt skal operasjonen ha vært vellykket.
Ikke tilstrekkelig alene
Dette betyr likevel ikke at disse serverne nå er sikre. Det er kun den ene bakdøren FBI fjerner. Det kan være flere bakdører, siden det er flere hackergrupper som utnytter sårbarhetene.
FBI har heller ikke installert de nødvendige sikkerhetsoppdateringene. På internett-eksponerte Exchange-servere hvor disse ikke er installert, er det trolig lite som forhindrer angripere å installere bakdører på nytt.
Microsoft kom tirsdag denne uken med nye sikkerhetsfikser til Exchange Server. Disse fjerner ytterligere fire alvorlige sårbarheter i programvaren. Det er så langt ikke kjent at disse blir utnyttet i angrep, men det anbefales at sikkerhetsoppdateringen blir installert så raskt som mulig.
Politiets nettverk usikret i syv år – blottla sensitive persondata