Afbødning af Exchange-servere Hafnium Nul-dags sårbarheder

Skrevet af Zevenet | 18 marts, 2021 | Teknisk

Selvom det kun er få måneder siden det allerede berømte angreb på SolarWinds-forsyningskæden, skal vi igen skrive om et andet hackingproblem, denne gang relateret til Microsoft Exchange Server.

I dette tilfælde er Nul-dags sårbarheder fundet i Microsoft Exchange Server 2013, 2016 og 2019 tillade en hacker at udnytte dem med indflydelse på flere organisationer og virksomheder med lokale Exchange-servere, der muliggør adgang til e-mail-konti og endda installation af malware for at give langvarig adgang til sådanne servere. Microsoft opdagede angrebene fra Hafnium-gruppen, men også andre kunne have brugt disse 0-dages udnyttelser nu, når angrebene har været offentlige.

Disse sårbarheder er registreret og dokumenteret med koder CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 og CVE-2021-27065, og alle disse har været adresser, så presserende opdateringer anbefales stærkt til kunder .

Hvis du er bekymret for disse angreb, anbefaler vi, at du implementerer løsning med høj tilgængelighed plus en firewall til webapplikationer for at afbøde dem, som ZEVENET-løsningen. Hvis Exchange Server-opdateringen ikke er mulig, anbefaler Microsoft at implementere følgende afhjælpninger:

1. Afbødning af tillid til brugere: Adgang til Microsoft Exchange-servere kun for pålidelige brugere via VPN-tjeneste.
2. Afbødning af backend-cookie: Implementere en webapplikations Firewall-regel for at filtrere de ondsindede HTTPS-anmodninger ved hjælp af X-AnonRessource-backend og misdannet X-BERessource cookies i de overskrifter, der bruges i SSRF angreb.
3. Unified Messaging-afbødning: Deaktiver UM
4. Afbødning af Exchange-kontrolpanel: Deaktiver ECP VDir
5. Offline adressebog afhjælpning: Deaktiver OAB VDir

Hos ZEVENET har vi arbejdet på at implementere dem meget let via WAF-modulet og helt nye VPN-tjenester. Også høj tilgængelighed, yderligere sikkerhed og belastningsbalancering til Exchange-servere kan implementeres med ZEVENET:

https://www.zevenet.com/knowledge-base/howtos/high-availability-and-site-resilience-for-microsoft-exchange-2016-owa-cas-array-and-dag/

Tvivl ikke på kontakte os at have flere detaljer om, hvordan man gennemfører disse afbødninger!

Officiel info relateret til disse Microsoft-sårbarheder:

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/

Del på:

Relaterede blogs

Sendt af zenweb | 18. oktober 2021
"Du er blevet hacket!" Det er de ord, som ingen ønsker at høre. Men vi ved alle, at disse ord er almindelige i verden af ​​digital transformation. Cybersikkerhed kan…
6 LikesComments Off om, hvad man skal gøre før og efter et cybersikkerhedsbrud
Sendt af zenweb | 11. oktober 2021
5G rummer et stort potentiale for virksomheder. Løftet om hastigheder på op til 20 Gbps og næsten nul latenstid kan hjælpe virksomheder med at blive hurtigere og mere forbundet end nogensinde. På trods af…
8 LikesComments Off om hvordan 5G ændrer cybersikkerhedslandskabet
Sendt af zenweb | 30. september 2021
Står du over for problemer med at arbejde eksternt? Har du brug for det rigtige værktøj til at styre din eksterne arbejdsstyrke? Over et årti er gået, og forretningsborde har udviklet sig siden.…
13 LikesComments Off på Hvilket er bedst, når man arbejder eksternt: VDI eller DaaS