Afbødning af Exchange-servere Hafnium Zero-day sårbarheder

Selvom det kun er et par måneder siden det allerede berømte angreb på SolarWinds' forsyningskæde, er vi igen nødt til at skrive om endnu et hackingproblem, denne gang relateret til Microsoft Exchange Server.

I dette tilfælde er Nul-dags sårbarheder fundet i Microsoft Exchange Server 2013, 2016 og 2019 tillader en angriber at udnytte dem med indflydelse på adskillige organisationer og virksomheder med lokale Exchange-servere, der giver adgang til e-mail-konti og endda installation af malware for at give langvarig adgang til sådanne servere. Microsoft opdagede angrebene fra Hafnium-gruppen, men andre kunne også have brugt disse 0-dages exploits nu, hvor angrebene er blevet offentliggjort.

Disse sårbarheder er blevet registreret og dokumenteret med koderne CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 og CVE-2021-27065, og alle disse er blevet adresseret, så hurtige opdateringer anbefales kraftigt til kunder.

Hvis du er bekymret over disse angreb, anbefaler vi at implementere en højtilgængelighedsløsning plus en webapplikationsfirewall for at afbøde dem, f.eks. Relianoid-løsningen. Hvis Exchange Server-opdateringen ikke er mulig, anbefaler Microsoft at implementere følgende afbødningsforanstaltninger:

1. Afhjælpning af betroede brugereAdgang til Microsoft Exchange-servere er kun for betroede brugere via VPN-tjenesten.
2. Backend-cookie-begrænsningImplementer en webapplikationsfirewall-regel for at filtrere ondsindede HTTPS-anmodninger ved hjælp af X-AnonResource-Backend og misdannede X-BEResource-cookies i de headere, der bruges i SSRF-angrebene.
3. Afhjælpning af Unified MessagingDeaktiver UM
4. Afhjælpning af Exchange-kontrolpanelDeaktiver ECP VDir
5. Afhjælpning af offline adressebogDeaktiver OAB VDir

At RELIANOID, har vi arbejdet på at implementere disse meget nemt via WAF-modulet og helt nye VPN-tjenester. Derudover kan høj tilgængelighed, ekstra sikkerhed og load balancing for Exchange-servere implementeres med RELIANOID:

https://www.relianoid.com/knowledge-base/howtos/high-availability-and-site-resilience-for-microsoft-exchange-2016-owa-cas-array-and-dag/

Tvivl ikke på kontakt os for at få flere detaljer om, hvordan disse afbødninger implementeres!