Haavoittuvuudet MS Exchange - grammm turvallisempana vaihtoehtona

Kuten Saksan BSI ilmoitti nykyisessä julkaisussaan (CSW # 2021-197772-1632), keskiviikon vastaisena yönä 3.3.2021 MS Exchange -ohjelmassa suljettiin neljä haavoittuvuutta, joita käytettiin jo yhdistelmänä kohdennetuissa hyökkäyksissä ja jotka tarjosivat tekijöille mahdollisuuden päästä käsiksi tietoihin tai asentaa lisää haittaohjelmia.

Haavoittuvuudet ovat:

• CVE-2021-26855 on palvelinpuolen pyyntöjen väärentämisen (SSRF) haavoittuvuus Exchangeissa, jonka avulla hyökkääjä voi lähettää HTTP-pyyntöjä ja todentaa itsensä Exchange-palvelimella.
• CVE-2021-26857 on haavoittuvuus Unified Messaging Service -palvelussa. Käyttäjäkohtaiset tiedot deserialisoidaan ohjelmalla. Tämä mahdollistaa minkä tahansa ohjelmakoodin suorittamisen SYSTEM-käyttäjänä Exchange-palvelimella. Tämä edellyttää järjestelmänvalvojan oikeuksia tai vastaavan lisähaavoittuvuuden hyödyntämistä.
• CVE-2021-26858 ja CVE-2021-27065 ovat haavoittuvuuksia, joiden avulla Exchange-palvelimelle voidaan kirjoittaa - todennuksen jälkeen - mielivaltaisia tiedostoja. Todentaminen voi tapahtua esimerkiksi CVE-2021-26855:n tai vanhentuneiden järjestelmänvalvojan käyttöoikeuksien kautta.

Kuten Computer Emergency Response Team Austria raportoi, 1074 aktiivista MS Exchange -palvelinta on vielä korjaamatta ja muodostaa siten edelleen merkittävän turvallisuusriskin (https://cert.at/de/aktuelles/2021/3/aktuelle-zahlen-zu-den-exchange-schwachstellen-in-osterreich- vain saksaksi).

Myös Saksan BSI suhtautuu erittäin kriittisesti tietotekniseen uhkatilanteeseen, sillä yli satatuhatta Exchange-palvelinta ympäri maailmaa on jo vaarantunut. Pelkästään Saksassa kymmeniätuhansia järjestelmiä - mukaan lukien ainakin kuusi liittovaltion viranomaista - on saastunut, ja suuntaus on kasvava. BSI:n mukaan ainakin 26 000 Exchange-palvelinta Saksassa, joihin pääsee suoraan Internetistä, on tällä hetkellä erityisen haavoittuvaisia. Näiden “on oletettava olevan vaarassa”. Tietoturva-aukkoja käytetään muun muassa tietojen salaamiseen asianomaisella palvelimella kiristystarkoituksessa, toisaalta bottien verkko-osallistujana lukemattomine mahdollisuuksineen ja jälkiseurauksineen.

Osana näitä havaintoja grammm:n tietoturva tarkastettiin, ja kävi selväksi, että grammm:ään eivät vaikuta nämä tietoturva-aukot eivätkä ole koskaan vaikuttaneetkaan. Grammm on vakuuttunut siitä, että MS Exchangen syvällinen integrointi Windows API -alijärjestelmään ja prosessijärjestelmään on aiheuttanut nämä vakavat seuraukset.

Oletusarvoisesti grammm asettaa palvelunsa ja rajapintansa aina muiden kuin järjestelmän etuoikeutettujen (ei-oikeutettujen) käyttäjien saataville. Turvallisuusarkkitehtuurin klassisten Linuxin sisäisten työkalujen lisäksi tämä tarjoaa lisäesteen suojautumiseen tällaisilta syvällisiltä käyttöjärjestelmän valtauksilta.

näin grammm tarjoaa turvallisemman vaihtoehdon MS Exchange -järjestelmälle, olipa kyseessä sitten paikallinen järjestelmä tai jokin hosting-kumppaneistamme.
Ota rohkeasti yhteyttä contact meihin.