Veiksmīga uzbrukuma gadījumā pastāv risks, ka uzbrucēji ne vien iegūst darbinieku e-pastu piekļuves datus, piekļuvi e-pastu sarakstēm un adrešu grāmatiņai, bet var arī iet soli tālāk un veikt darbības, kas var kompromitēt visu uzņēmuma tīkla infrastruktūru.
Ietekmētas ir visas aktuālās, lokālās (on-premises) MS Exchange versijas. Uzbrukums vērsts pret tīmekļa komponenti (OWA un ECP). Atsevišķos gadījumos kompromitētajā infrastruktūrā novērota arī šifrējošā izspiedējvīrusa klātbūtne, kas var paralizēt visa uzņēmuma vai iestādes darbību.
Dažos gadījumos serveri kompromitēti nepilnu stundu pirms atjauninājumu uzstādīšanas, tāpēc, līdz brīdim, kad ir veiktas atbilstošas pārbaudes un tajās ir apstiprināts pretējais, CERT.LV aicina uzskatīt visus MS Exchange serverus par kompromitētiem.
Pārbaužu veikšanai CERT.LV iesaka izmantot sekojošus rīkus (jāizmanto abi!):
- https://github.com/microsoft/CSS-Exchange/tree/main/Security
- https://github.com/cert-lv/exchange_webshell_detection
CERT.LV uzsver, ka atjauninājumu uzstādīšana pasargā no iespējamas kompromitēšanas pēc uzstādīšanas, bet nenovērš kompromitēšanu, ja tā jau notikusi vēl pirms servera programmatūras atjaunināšanas, attiecīgi, pārbaude jāveic arī tad, ja atjauninājumi tika uzstādīti, tiklīdz tie bija pieejami.
CERT.LV aicina visus uzņēmumus un iestādes, kas izmanto MS Exchange e-pasta serverus, pret aplūkotajiem riskiem attiekties nopietni un veikt nepieciešamās pārbaudes. Ja iestādei vai uzņēmumam trūkst kapacitātes vai zināšanu minēto darbību veikšanai – iesakām apsvērt iespējas piesaistīt speciālistus ārpakalpojumā.
Microsoft ārpus kārtas publicētie atjauninājumi:
Papildu informācija:
- https://media.cert.europa.eu/static/SecurityAdvisories/2021/CERT-EU-SA2021-013.pdf
- https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
- https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
- https://blog.rapid7.com/2021/03/03/rapid7s-insightidr-enables-detection-and-response-to-microsoft-exchange-0-day/
