Microsoft Exchange hack – co się dzieje?

Home / Aktualności / Microsoft Exchange hack – co się dzieje?

Pierwszy kwartał 2021 roku to kolejny po ataku SolarWinds wstrząs w obszarze cyberbezpieczeństwa, dla organizacji na całym świecie. 4 podatności typu „zero-day” są obecnie eksploatowane – rozpoczęło się od chińskiej grupy Hafnium i rozszerzyło na Tick, Calypso, Winnti Group (Wspomniane grupy używały podatności zanim Microsoft wypuścił patch – 2 marca 2021.) Po tej dacie podatności używa już praktycznie każdy.

Na początku stycznia Microsoft powiadomił znanego eksperta ds. cyberbezpieczeństwa Briana Krebsa o czterech zgłoszonych podatnościach typu „zero-day” . 5 stycznia zostały one zgłoszeone przez niejakiego „Orange Tsai”, badacza z DEVCORE

“Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported.”

Orange Tsai via Twitter

A dlaczego to jest problem?

Krytyczne luki w zabezpieczeniach wpływają na lokalnie hostowane (on-prem) programy Exchange Server 2013, Exchange Server 2016 i Exchange Server 2019. Co jest ważne – podatności nie dotyczą chmurowego Exchange Online.

Oto lista obecnie zaraportowanych podatności:
  1. CVE-2021-26855: CVSS 9.1: luka w zabezpieczeniach dotycząca fałszowania żądań po stronie serwera (SSRF) prowadząca do wysyłania spreparowanych żądań HTTP przez nieuwierzytelnionych atakujących. Serwery muszą mieć możliwość akceptowania niezaufanych połączeń przez port 443, aby błąd został wyzwolony.
  2. CVE-2021-26857: CVSS 7.8: niezabezpieczona luka deserializacji w usłudze Exchange Unified Messaging Service, umożliwiająca wdrożenie dowolnego kodu w systemie. Jednak tę lukę należy połączyć z innymi lub skradzionymi danymi uwierzytelniającymi.
  3. CVE-2021-26858: CVSS 7.8: luka w zapisie dowolnego pliku po uwierzytelnieniu w celu zapisu w ścieżkach. Co istotne – tę lukę można powiązać z luką CVE-2021-26855 SSRF, aby zezwolić na nieuwierzytelniony atak.
  4. CVE-2021-27065: CVSS 7.8: luka w zapisie dowolnego pliku po uwierzytelnieniu w celu zapisu w ścieżkach. Co istotne – tę lukę można powiązać z luką CVE-2021-26855 SSRF, aby zezwolić na nieuwierzytelniony atak.

Jeśli zostaną użyte w skoordynowanej kampanii – wszystkie te luki mogą prowadzić do zdalnego wykonania kodu (RCE – Remote Code Execution), przejęcia serwera, uruchomienia backdoorów, kradzieży danych i potencjalnie dalszego rozprzestrzeniania złośliwego oprogramowania.

Co zrobić jeżeli używam lokalnego Exchange Server 2013, Exchange Server 2016 lub Exchange Server 2019?

  1. Sprawdź czy jesteś podatny za pomocą następujacych skryptów wydanych przez Microsoft

  2. Zainstaluj aktualizacje bezpieczeństwa wydane w marcu przez Microsoft

  3. Jeżeli to możliwe – zaktualizuj swoje narzędzia bezpieczeństwa IT o wskaźniki infekcji – IOC – Indicators of Compromise – związane z eksploatacją tych podatności


Firma Microsoft wezwała administratorów IT i klientów do natychmiastowego zastosowania poprawek bezpieczeństwa. Jednak tylko dlatego, że poprawki są teraz stosowane, nie oznacza to, że serwery nie zostały już poddane operacji wstecznej lub nie zostały w inny sposób naruszone.

Powiązane artykuły

Co się stało w SolarWinds? – sunburst w akcji!
Sprawdźmy, jak daleko sięga portfolio IT Security Microsoftu
Vectra Cognito: proste i skuteczne rozwiązanie dla ochrony Microsoft Office 365
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji