Tunnistautumista vaativa etäkäytön mahdollistava haavoittuvuus Microsoft Exchangessa

Microsoft Exchange-sähköpostipalvelimessa on havaittu haavoittuvuuksia, jotka mahdollistavat mielivaltaisen koodin suorittamisen. Haavoittuvuuksia käytetään aktiivisesti hyväksi. Microsoft on julkaissut korjaavat päivitykset.

Päivitys 22.12.2022:

Tietoturvatutkijat ovat löytäneet uuden ja aktiivisesti hyödynnetyn hyväksikäyttötavan. Aiemmin Microsoftin suosittama haavoittuvuuden rajoituskeino ei estä tätä uusinta hyväksikäyttötapaa ja mahdollistava esimerkkitoteutus (PoC) on julkisesti saatavilla. Kyberturvallisuuskeskus suosittelee Microsoftin päivityksien asentamista. Microsoftin päivitys KB5019758 (julkaistu 08.11.2022 Microsoftin tiedote) korjaa nämä haavoittuvuudet (CVE-2022-41040, CVE-2022-41082 ja CVE-2022-41080).

----

Alkuperäinen tiedote: 17.11.2022

Microsoft Exchange -sähköpostipalvelimesta on löydetty haavoittuvuus, joka mahdollistaa tunnistautuneelle käyttäjälle mielivaltaisen koodin suorittamisen. Microsoft on kertonut kahdesta nollapäivähaavoittuvuudesta, joiden CVE-tunnisteet ovat CVE-2022-41040 ja CVE-2022-41082.

Tämän hetkisten tietojen mukaan haavoittuvuus koskee Exchange-palvelimia, joita ylläpidetään käyttäjien omissa ympäristöissä (OnPrem) ja niiden selainpohjainen käyttäjäympäristö (OWA) on avoinna internet-rajapintaan. Microsoft julkaisi 30.9. aamupäivällä ohjeet haavoittuvuuden hyväksikäytön rajoittamiseksi. Microsoftin tietojen mukaan haavoittuvuuden hyödyntäminen vaatii palvelimelle tunnistautumisen, joka pienentää haavoittuvuuden käytön mahdollisuutta ja lieventää kokonaisriskiä. Varsinaista korjausta ei ole vielä julkaistu. Microsoft päivitti blogiaan 4.10. uusien mitigointikeinojen osalta.

Tavallinen sähköpostin käyttäjä ei voi tehdä mitään estääkseen haavoittuvuuden hyväksikäyttöä, vaan sen ehkäiseminen ja korjaaminen on sähköpostin ylläpitäjän vastuulla. Organisaatioissa korjaustoimenpiteet perinteisesti suorittaa organisaation oma IT-osasto.

Haavoittuvuuden kohde

Microsoft Exchange Server 2013, 2016, ja 2019

Mistä on kysymys?

Haavoittuudet voidaan korjata asentamalla Microsoftin julkaisemat päivitykset.

Mitä voin tehdä?

Microsoftin julkaisemat päivitykset (ulkoinen linkki)

GTSC:n blogissaan julkaisemat uhkatunnisteet (ulkoinen linkki)

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.