Skoči do osrednje vsebine

Kritična ranljivost Microsoft Exchange strežnikov

Microsoft je 2. marca 2021 objavil, da v njihovih izdelkih Exchange Server 2010, Exchange Server 2013, Exchange Server 2016 in Exchange Server 2019 obstaja več kritičnih ranljivosti ter zanje tudi objavil popravke, ki jih je potrebno namestiti na Microsoft Exchange strežnike. Obstaja verjetnost, da so zlonamerni akterji te ranljivosti izkoriščali že od septembra 2020. Veriženje teh kritičnih ranljivosti napadalcem omogoča dostop do predalov elektronske pošte in namestitev škodljive programske opreme na ranljivi MS Exchange strežnik.

SI-CERT - nacionalni odzivni center za kibernetsko varnost, je 3. marca objavil varnostno obvestilo SICERT 2021-01, v katerem je opisal ranljivosti Microsoft Exchange strežnikov ter podal preventivne ukrepe, ki se nanašajo na namestitev popravkov, pregled indikatorjev zlorabe in ukrepe pri zaznani zlorabi. 

Uprava Republike Slovenije za informacijsko varnost (URSIV) kot pristojni nacionalni organ za informacijsko varnost pozorno spremlja razvoj dogodkov. Na podlagi preliminarne analize SI-CERT, ki kaže na razširjenost potencialno ranljivih strežnikov v Republiki Sloveniji, URSIV sklepa, da obstaja povečana ogroženost varnosti omrežij in informacijskih sistemov pri izvajalcih bistvenih storitev različnih sektorjev in organih državne uprave, ki upravljajo z informacijskimi sistemi in deli omrežja oziroma izvajajo informacijske storitve, nujne za nemoteno delovanje države ali za zagotavljanje nacionalne varnosti in ki uporabljajo Exchange strežnike. URSIV prav tako ocenjuje, da so lahko ogroženi tudi upravljalci kritične infrastrukture. 

Zaradi navedenega je URSIV 6. marca 2021 pozvala SIGOV-CERT - odzivni center za incidente v informacijskih sistemih organov državne uprave ter Nacionalni center za krizno upravljanje (NCKU), da tako državne organe kot tudi upravljalce kritične infrastrukture pozovejo k takojšnji odpravi ranljivosti, če tega še niso storili. Prav tako je URSIV pozval SIGOV-CERT in NCKU k rednemu poročanju v zvezi z zaznavanjem in/ali odpravo prej omenjenih ranljivosti. 

URSIV je 7. marca 2021 ocenil, da je nastopilo stanje povečane ogroženosti varnosti omrežij in informacijskih sistemov zavezancev po Zakonu o informacijski varnosti, ki so bili s sklepom Vlade Republike Slovenije na podlagi navedenega zakona določeni kot izvajalci bistvenih storitev oziroma organi državne uprave. 

V skladu s svojimi pristojnostmi je URSIV 8. marca 2021 izdal odločbe izvajalcem bistvenih storitev, s katerimi jim je naložil ustrezne ukrepe v povezavi s prej omenjenimi kritičnimi ranljivostmi.  

URSIV meni, da stanje povečanje ogroženosti varnosti omrežij in informacijskih sistemov velja tudi za druge organizacije v Republiki Sloveniji, ki uporabljajo Microsoft Exchange strežnike zgoraj navedenih verzij. Zaradi tega URSIV vsem, ki imajo v lasti ali upravljanju Microsoft Exchange strežnike priporoča, da skrbno spremljajo obvestila SI-CERT in ostalih (predvsem Microsoft) v zvezi z zgoraj navedenimi kritičnimi ranljivostmi ter da ustrezno poskrbijo za namestitev popravkov ter za pregled indikatorjev zlorab. URSIV vse skrbnike Microsoft Exchange strežnikov prosi, da morebitne zaznane zlorabe prostovoljno sporočijo na SI-CERT. 

DODATNA INFORMACIJA

Pojasnjujemo, da ena od kritičnih ranljivosti velja tudi za MS Exchange Server 2010. Čeprav ta izdelek ni več vzdrževan s strani Microsofta, je ta vseeno objavil popravek tudi za to različico. Več podrobnosti na povezavi (dostopno tudi preko spletne strani SI-CERT).

Na sliki je računalniški heker z logotipom strežnika elektronske pošte Microsoft Exchange

Odkritih je bilo več kritičnih ranljivosti strežnikov elektronske pošte Microsoft Exchange | Avtor Gerd Altmann, Pixabay, dodelava URSIV