Mit jelent a hiba, és kik vannak veszélyben?
Az érintettség a Microsoft Exchange Server 2016, 2019 és a Subscription Edition verzióira terjed ki. Hibrid felállásban – ahol a helyszíni Exchange szerverek és az Exchange Online között megosztott hitelesítési kapcsolatok vannak – az adminisztrátori hozzáférést megszerző támadók képesek áttörni a helyi hálózat és a felhő közötti védelmet, így akár a teljes vállalati környezetet és az Active Directory-t is leuralhatják. Az egész infrastruktúrát veszély fenyegeti, hiszen az Exchange hibrid konfigurációja egy megosztott szolgáltatási komponenst, úgynevezett szolgáltatásfiókot (service principal) használ a hitelesítéshez.
Különösen fontos kiemelni, hogy a támadások egy része ráadásul a felhőalapú naplózási eszközökkel – például a Microsoft Purview-vel – nem vagy csak nehezen követhető, mert a káros aktivitás közvetlenül a helyi Exchange szerverről indul. Így a kompromittálás szinte észrevétlen lehet.
Hogyan vált nyilvánossá, és mi a teendő?
A sebezhetőségre egy biztonsági kutató hívta fel a figyelmet, aki három héttel a nyilvános bemutató előtt jelentette a Microsoftnak az incidenst. Ezt követően a vállalat hivatalosan is közzétette a hibát, és leírást adott a védekezés módjáról. A Secure Future Initiative keretében már áprilisban javaslatokat adtak ki a védelmet erősítő architektúra kialakítására – aki ezeket megfogadta, jelenleg is védett a támadástól.
Akik azonban még nem alkalmazták a javítást, vagy nem követték a Microsoft részletes migrációs útmutatóját, most sürgős intézkedést kell, hogy tegyenek. Fontos tudni, hogy önmagában a javítócsomag nem elegendő – manuálisan is le kell cserélni a megosztott szolgáltatási komponenst dedikált hibrid alkalmazásra.
Szövetségi és céges kötelezettségek
Az ügynökségeknek első lépésben át kell tekinteniük Exchange környezetüket, le kell kapcsolniuk minden már nem támogatott szervert, majd a legfrissebb (2019-es szervereknél CU14 vagy CU15, 2016-osnál CU23) frissítéseket és az áprilisi hotfixet telepíteniük. Ezek után PowerShell parancsokat kell futtatni, hogy a rendszer átálljon a dedikált alkalmazás használatára az Entra ID-n belül.
A CISA egyértelműen figyelmeztet: aki nem lép időben, annál az egész vállalati vagy szövetségi infrastruktúra veszélybe kerülhet. Hétfő reggelig minden műszaki lépésnek készen kell lennie, a jelentéseket pedig 17 óráig be kell nyújtani.
Nemcsak kormányzati figyelmeztetés
Összességében elmondható, hogy míg a hatóságokat jogszabály kötelezi, a CISA minden szervezetet, céget figyelmeztet: az új Exchange sebezhetőség mindenkit veszélyeztet, aki ezt a környezetet használja. Az MI által végzett tömeges támadások, rejtett Tökéletes zsákmány (Perfect Heist) típusú akciók – főként jelszókezelőket célzó kártevők révén – háromszorosára növekedtek.
Különösen fontos kiemelni, hogy a támadók által leggyakrabban kihasznált Top 10 MITRE ATT&CK technika felel a támadások 93%-áért – ezek ellen a védelmi intézkedések minden cég számára szinte elengedhetetlenek.
