HAFNIUM targeting Exchange Servers with 0-day exploits

Microsoft har nettopp informert om sårbarheter som rammer Microsoft Exchange Server 2013, 2016 og 2019.

Zero Day_Web_nyheter_forsiden
 
Data Equipment er opptatt av at våre kunder er best mulig beskyttet. I den forbindelse ønsker vi å informere om hendelser og sårbarheter, samt informasjon om tiltak man burde gjøre for å være bedre rustet for å stå imot disse.
 
Microsoft har nettopp informert om sårbarheter som rammer Microsoft Exchange Server 2013, 2016, or 2019.
 

Sårbarhetene er beskrevet her

Kort forklart; Har du en av disse Exchange serverne, nylig patchet, tilgjengelig fra Internett, er det bare å sette kaffen til side, brette opp ermene og begynne arbeidet. Det er identifisert 5 sårbarheter, der den ene av dem gjør det mulig for angriperne å komme inn på serveren uten autentisering, inkludert MFA. Når de først er inne på serveren kan du gjøre mye, som uthenting av data, opprettelse av egne kontoer, lekkasje av data, samt også bevegelse internt i nettverket. Meget alvorlig altså.
 

Hva må du gjøre?

  • Anbefaling nr 1: Oppdater Exchange serveren din! 
    • Kan du ikke gjøre dette med en gang, vil du se i de refererte artiklene, at anbefalingen er å fjerne tilgangen til disse serverne fra internett umiddelbart!
 

Hva vil bidra til å redusere risiko?

Generelle råd, relatert til denne hendelsen, men også til flere hendelser nevnt lenger ned, som SolarWinds Orion, Østre Toten Kommune og Helse Sør-Øst.

  • Best Practice
    • Fra et Data Equipment og Palo Alto Networks ståsted, vil Best Practice være det første og viktigste man kan gjøre. Dette vil bidra til å skape den beste visibiliteten, beste tilgangskontrollen, inspeksjonen og beskyttelsen, med applikasjonskontroll, brukerkontroll, SSL dekryptering og inspeksjon av all kommunikasjon. Les mer her 
       
  • SSL dekryptering
    • Med en Palo Alto Networks brannmur, er SSL dekryptering standardfunksjon tilgjengelig for alle. SSL Inbound Inspection for all kommunikasjon for SSL/TLS servere, som i dette tilfellet din Exchange server, vil gjøre din neste generasjons brannmur kapabel til å inspisere all kommunikasjon til dine servere, og med en oppdatering av brannmuren til Content Version 8380 bidra til å kunne stoppe forsøk på denne hendelsen. Dette er en raskt, enkelt og lite ressurskrevende oppsett. Les mer her
       
  • Segmentering
    • Det skrives i artikkelen at aktørene blant annet vil foreta bevegelse internt i nettverket, til andre servere og tjenester. Dette øker naturligvis alvorlighetsgraden, og kan bidra til at en eventuell patching av Exchange serveren ikke fullt og helt adresserer problemet
    • For å adressere den interne bevegelsen, er segmentering essensielt. Dette er en grunnleggende anbefaling fra bl.a Nasjonal sikkerhetsmyndighet
      • Segmentering alene er ikke nok, da du må ta tilgangskontroll mellom segmentene på alvor, med applikasjon og brukerkontroll, SSL dekryptering og full inspeksjon av all tillatt kommunikasjon for å kunne detektere IOC’er.
      • Helse Sør-Øst hendelsen i 2018 var nettopp dette, at aktørene kom seg inn via en sårbarhet på en webserver, og beveget seg videre til andre servere, noe som var mulig grunnet manglende segmentering og tilgangskontroll
    • Data Equipment og Palo Alto Networks (Next Generation Firewall) er bygget for å adressere dette, å ta kontroll på hvem som skal kunne gjøre hva, mot hvem, fra hvor, på hvilken måte, når og hvorfor, med applikasjonskontroll, brukerkontroll, SSL dekryptering og full inspeksjon, etter at grunnleggende segmentering er på plass.
       
  • Command & Control
    • Artikkelen sier at Command & Control, C2, Phone Home, utføres. Dette er aktørenes viktige våpen for å kunne vedlikeholde sitt fotfeste inne i nettverket, for å kunne overføre kommandoer, for å kunne lekke data, for å kunne fortsette å ha kontroll
      • For å adressere dette, er det viktig å ta kontroll på hva serverne får lov til å snakke med mot Internett. Lag regelsett per server eller servergruppe, med applikasjonskontroll som sier nettopp hva hver enkelt server(gruppe) har lov til å gjøre mot Internett. Dette vil bidra til å redusere sannsynligheten for at uønsket kommunikasjon vil kunne opprettes. For all denne kommunikasjonen, må det legges til sikkerhetsprofiler etter Best Practice oppsett, for å best mulig kunne identifisere og stoppe forsøk på etablering av Command & Control.
        • Data Equipment og Palo Alto Networks kan med brannmuren og Expedition Tool bistå våre kunder med å lage et detaljert regelsett for server/servergruppe, slik at man oppnår den beste risikoredusering for utgående server kommunikasjon
           
  • Sperring av kommunikasjon til og fra kjente uønskede IP adresser
    • Palo Alto Networks sin Best Practice, vil sørge for at man har egne regler som sperrer for kommunikasjon med uønskede IP-adresser. Dette kan være IP- adresser Palo Alto Networks oppdaterer inn i brannmuren, IP-adresser Intellisec fra Data Equipment tilbyr, eller en annen tjeneste man velger å legge til sin sikkerhetsløsning
  • Utgående hvitelisting
    • Dette er nevnt under Command & Control, men vi nevner det igjen, da dette er viktig. Ta kontroll på hva dine servere får lov til å gjøre mot Internett, med en regel per server/servergruppe. Benytt Policy Optimizer i brannmuren eller Panorama, for å lage et applikasjonsregelsett, eller Expedition tool som er enda mer omfattende.
       
  • Zero Trust
    • Elementene nevnt over, handler mye om Zero Trust. Det som ligger i Zero Trust, er å lage perimetersikring rundt tjenestene, og fra der ta kontroll på hvem som kan gjøre hva, mot tjenesten, på hvilken måte, fra hvor, når og hvorfor. Start med noe, så kan vi fortsette å snakke om Zero Trust ved en senere anledning.
 

Tre eksempler på hvordan aktørene kan komme inn

  • SolarWinds Orion hendelsen: Supply Chain. Aktørene kommer inn via legitime software oppdateringer, som oppretter en forbindelse ut igjen til aktørene, som de igjen kan benytte for å komme inn i nettverket.
     
  • Østre Toten kommune hendelsen: En legitim tjeneste for fjerntilgang, som VPN, Citrix, RDP, uten MFA, kan misbrukes for å komme på innsiden
     
  • Helse Sør-Øst hendelsen, samt denne Exchange sårbarheten: En sårbarhet i en internettbasert tjeneste, som utnyttes for å skaffe seg fotfeste på en server internt i nettverket
 

Det er snakk om 5 sårbarheter

  • CVE-2021-26855
  • CVE-2021-26858
  • CVE-2021-27065
  • CVE-2021-26857
  • CVE-2021-24085
 

Informasjon fra Palo Alto Networks

Applications and Threats Content Release Notes
Version 8380
Notices:
Palo Alto Networks released this emergency content update to add coverage for multiple actively exploited vulnerabilities in Exchange Server that Microsoft addressed in an out-of-band release on Tuesday, March 2, 2021.
 
New Vulnerability Signatures (5)
 
Attach1
 

Partner War Room

Vi kan også informere om at Microsoft har etablert et Partner War Room,
hvor Microsoft-partnere kan stille spørsmål frem til kl. 17:00 i dag:
Partner War Room, onsdag kl. 12:00-17:00
 
Suksessfulle hendelser skjer i tillatt trafikk. Reduser angrepsflaten. Zero Trust bidrar til dette