Walaupun hanya beberapa bulan sejak serangan yang sudah terkenal di rantai bekalan SolarWinds, sekali lagi kita harus menulis mengenai masalah penggodaman lain, kali ini berkaitan dengan Microsoft Exchange Server.
Dalam kes ini, yang Kerentanan sifar yang terdapat di Microsoft Exchange Server 2013, 2016, dan 2019 membenarkan penyerang mengeksploitasi mereka dengan memberi kesan kepada beberapa organisasi dan perniagaan dengan Server Exchange di tempat yang membolehkan akses ke akaun e-mel dan juga pemasangan perisian hasad untuk membenarkan akses jangka panjang ke pelayan tersebut. Microsoft mengesan serangan dari kumpulan Hafnium, tetapi juga, yang lain mungkin telah menggunakan eksploitasi 0 hari ini sekarang kerana serangan tersebut telah diketahui umum.
Kerentanan ini telah didaftarkan dan didokumentasikan dengan kod CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, dan CVE-2021-27065, dan semua ini merupakan alamat sehingga kemas kini mendesak sangat disarankan kepada pelanggan .
Sekiranya anda bimbang dengan serangan ini, kami mengesyorkan menerapkan penyelesaian ketersediaan tinggi dan firewall aplikasi web untuk mengurangkannya, seperti penyelesaian ZEVENET. Sekiranya kemas kini Exchange Server tidak dapat dilakukan, Microsoft mengesyorkan untuk melaksanakan perkara berikut pengurangan:
1. Pengurangan pengguna yang dipercayai: Akses ke Pelayan Microsoft Exchange untuk pengguna yang dipercayai hanya melalui perkhidmatan VPN.
2. Mitigasi Kuki Backend: Terapkan peraturan Firewall Aplikasi Web untuk menyaring permintaan HTTPS jahat menggunakan X-AnonResource-Backend dan cacat X-BEResource kuki di tajuk yang digunakan di SSRF serangan.
3. Mitigasi Pemesejan Bersatu: Lumpuhkan UM
4. Pengurangan Panel Kawalan Pertukaran: Lumpuhkan ECP VDir
5. Pengurangan Buku Alamat Luar Talian: Lumpuhkan OAB VDir
Di ZEVENET, kami telah berusaha untuk melaksanakannya dengan mudah melalui modul WAF dan perkhidmatan VPN baru. Juga, ketersediaan tinggi, keamanan tambahan, dan pengimbangan beban untuk Exchange Server dapat dilaksanakan dengan ZEVENET:
https://www.zevenet.com/knowledge-base/howtos/high-availability-and-site-resilience-for-microsoft-exchange-2016-owa-cas-array-and-dag/
Jangan ragu untuk hubungi kami untuk mempunyai lebih banyak maklumat mengenai bagaimana melaksanakan mitigasi tersebut!
Maklumat rasmi yang berkaitan dengan kelemahan Microsoft ini:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/