Hopp til innhold
Blog

Nok en ekstern kodeutførelse i MS-Exchange

· av grommunio
Nok en ekstern kodeutførelse i MS-Exchange

Nok en gang er Microsofts Exchange Server rammet av to alvorlige sårbarheter: Med en alvorlighetsgrad på 8,8 og 6,3 i Common Vulnerability Score System utgjør de tidligere uoppdaterte sårbarhetene (CVE-2022-41040 og CVE-2022-41082) en trussel mot alle servere som er avhengige av Microsofts e-postsystem.

Siden de nå også blir aktivt utnyttet av angripere, bør berørte administratorer sørge for å implementere workaround fra Microsofts blogg umiddelbart inntil produsenten har rettet problemet. Sårbarhetene ble oppdaget allerede i slutten av september av sikkerhetsselskapet GTSC, og Microsoft venter fortsatt på en patch.

Berørt: Exchange 2013, 2016 og 2019

Alle lokale installasjoner av Microsoft Exchange Server versjon 2013, 2016 og 2019 er berørt, inkludert fullt oppdaterte og godt vedlikeholdte servere. Kunder og produkter fra grommunio er ikke berørt av denne sårbarheten.

I følge leverandørens innrømmelse tillater feilen (her er den kontinuerlig oppdaterte BSI-rapporten) “ekstern kjøring av kode for autentiserte kontoer”, dvs. kjøring av vilkårlig kode via brukerkontoer. Den anbefalte løsningen anbefaler alle lokale Microsoft-kunder å deaktivere ekstern tilgang til Powershell (kommandolinjen i Windows-systemet) for ikke-privilegerte brukere. Dette er for øyeblikket den eneste måten å hindre angripere i å misbruke disse kontoene og forårsake alvorlig skade på serveren eller det lokale nettverket.

De første tiltakene fra Microsoft er utilstrekkelige

Sikkerhetseksperter fortsetter å undersøke problemet og deler sine funn hovedsakelig på Twitter. Den tilhørende emneknaggen er #proxynotshell, med henvisning til andre sikkerhetshendelser i Exchange fra 2021. Rådet som BSI og Microsoft vedtok om å “låse ut” alle ikke-privilegerte brukere fra Powershell, kom også via Twitter, etter at de avbøtende tiltakene som Microsoft opprinnelig foreslo, beviselig ikke førte til suksess.

Test grommunio (/demo/) gratis på din egen server.

Oppdatering

12. Oktober: Stikk i strid med forventningene kom Microsoft ikke med en oppdatering for sårbarheten på sin siste patchday (11. oktober). Etter de problematiske løsningene og etter at hackere allerede aktivt utnytter sårbarhetene, står Microsoft nå overfor mer alvorlige sikkerhetshull i Windows, Hyper-V og Office. Blogginnlegget til Microsofts Security Response Center (https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/) oppdateres kontinuerlig av det amerikanske selskapet, og det siste innlegget er fra 9. oktober.

Tilbake til Blogg og nyheter

Relaterte artikler

Blog

Coding Challenge i Graz: Og vinneren er..

På Linux-dagene i Graz arrangerte grommunio en svært anerkjent kodeutfordring som tiltrakk seg mange deltakere.
Case Study

"Uavhengig og mer motstandsdyktig": grommunio i Radolfshausen kommune

"Uavhengig og mer motstandsdyktig": grommunio i Radolfshausen kommune. Flere kommuner benytter seg av grommunio.
Blog

Graz Linux Days 2026: grommunio-presentasjoner, workshops og en kodingsutfordring!

Graz Linux Days 2026: grommunio-presentasjoner, workshops og en kodingsutfordring! Over 2000 besøkende fant veien til Steiermark igjen i 2026.