Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Microsoft Exchange-sähköpostipalvelimessa on havaittu haavoittuvuuksia, jotka mahdollistavat mielivaltaisen koodin suorittamisen. Haavoittuvuuksia käytetään aktiivisesti hyväksi. Microsoft on julkaissut korjaavat päivitykset.

Päivitys 22.12.2022:

Tietoturvatutkijat ovat löytäneet uuden ja aktiivisesti hyödynnetyn hyväksikäyttötavan. Aiemmin Microsoftin suosittama haavoittuvuuden rajoituskeino ei estä tätä uusinta hyväksikäyttötapaa ja  mahdollistava esimerkkitoteutus (PoC) on julkisesti saatavilla. Kyberturvallisuuskeskus suosittelee Microsoftin päivityksien asentamista. Microsoftin päivitys KB5019758 (julkaistu 08.11.2022 Microsoftin tiedote ) korjaa nämä haavoittuvuudet (CVE-2022-41040, CVE-2022-41082 ja CVE-2022-41080).

----

Alkuperäinen tiedote: 17.11.2022

Microsoft Exchange -sähköpostipalvelimesta on löydetty haavoittuvuus, joka mahdollistaa tunnistautuneelle käyttäjälle mielivaltaisen koodin suorittamisen. Microsoft on kertonut kahdesta nollapäivähaavoittuvuudesta, joiden CVE-tunnisteet ovat CVE-2022-41040 ja CVE-2022-41082. 

Tämän hetkisten tietojen mukaan haavoittuvuus koskee Exchange-palvelimia, joita ylläpidetään käyttäjien omissa ympäristöissä (OnPrem) ja niiden selainpohjainen käyttäjäympäristö (OWA) on avoinna internet-rajapintaan. Microsoft julkaisi 30.9. aamupäivällä ohjeet haavoittuvuuden hyväksikäytön rajoittamiseksi. Microsoftin tietojen mukaan haavoittuvuuden hyödyntäminen vaatii palvelimelle tunnistautumisen, joka pienentää haavoittuvuuden käytön mahdollisuutta ja lieventää kokonaisriskiä. Varsinaista korjausta ei ole vielä julkaistu. Microsoft päivitti blogiaan 4.10. uusien mitigointikeinojen osalta.

Tavallinen sähköpostin käyttäjä ei voi tehdä mitään estääkseen haavoittuvuuden hyväksikäyttöä, vaan sen ehkäiseminen ja korjaaminen on sähköpostin ylläpitäjän vastuulla. Organisaatioissa korjaustoimenpiteet perinteisesti suorittaa organisaation oma IT-osasto.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä
  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvuuden kohde

Microsoft Exchange Server 2013, 2016, ja 2019

Mistä on kysymys?

Haavoittuudet voidaan korjata asentamalla Microsoftin julkaisemat päivitykset.

Mitä voin tehdä?

CVE-tunnisteet

Microsoft päivitti blogikirjoitustaan 4.10.

Esimerkkikoodi julkaistu

Päivitetty tiedotetta uuden hyväksikäyttötavan osalta.