Luki w zabezpieczeniach MS Exchange - grammm jako bezpieczniejsza alternatywa

Jak poinformowało niemieckie BSI w aktualnej publikacji (CSW # 2021-197772-1632), w nocy ze środy na czwartek, 3 marca 2021 r., w MS Exchange usunięto cztery luki, które były już wykorzystywane w połączeniu do ukierunkowanych ataków, a sprawcy oferowali możliwość uzyskania dostępu do danych lub zainstalowania dodatkowego złośliwego oprogramowania.

Luki te to:

• CVE-2021-26855 to luka SSRF (server-side request forgery) w Exchange, która pozwala atakującemu na wysyłanie żądań HTTP i uwierzytelnianie się na serwerze Exchange.
• CVE-2021-26857 to luka w usłudze Unified Messaging Service. Dane specyficzne dla użytkownika są deserializowane przez program. Umożliwia to wykonanie dowolnego kodu programu jako użytkownik SYSTEM na serwerze Exchange. Wymaga to uprawnień administratora lub wykorzystania innej luki.
• CVE-2021-26858 i CVE-2021-27065 to luki, za pomocą których - po uwierzytelnieniu - można zapisać dowolne pliki na serwerze Exchange. Uwierzytelnianie może odbywać się np. poprzez CVE-2021-26855 lub wygasłe dane dostępu administratora.

Jak donosi Computer Emergency Response Team Austria, 1074 aktywnych serwerów MS Exchange wciąż pozostaje niezałatanych i w związku z tym nadal stanowią one znaczące zagrożenie dla bezpieczeństwa (https://cert.at/de/aktuelles/2021/3/aktuelle-zahlen-zu-den-exchange-schwachstellen-in-osterreich- tylko w języku niemieckim).

Niemiecki BSI jest również bardzo krytyczny wobec sytuacji zagrożeń IT, ponieważ już ponad sto tysięcy serwerów Exchange na całym świecie zostało naruszonych. W samych Niemczech zagrożone są dziesiątki tysięcy systemów - w tym co najmniej sześć urzędów federalnych - a tendencja jest rosnąca. Według BSI, co najmniej 26 000 serwerów Exchange w Niemczech, do których można uzyskać dostęp bezpośrednio z Internetu, jest obecnie szczególnie podatnych na ataki. “Należy założyć, że są one zagrożone”. Luki w zabezpieczeniach są wykorzystywane między innymi do szyfrowania danych na zaatakowanym serwerze w celu szantażu, z drugiej strony jako uczestnik sieci botów z niezliczonymi możliwościami i skutkami ubocznymi.

W ramach tych ustaleń, bezpieczeństwo grammm zostało poddane audytowi i stało się jasne, że grammm nie jest dotknięte tymi lukami bezpieczeństwa i nigdy nie było. Grammm jest przekonany, że głęboka integracja MS Exchange z podsystemem Windows API i systemem procesowym miała te poważne konsekwencje.

Domyślnie grammm zawsze udostępnia swoje usługi i interfejsy użytkownikom nieuprzywilejowanym. Oprócz klasycznych narzędzi wbudowanych w Linuksa dla architektury bezpieczeństwa, oferuje to dodatkową barierę chroniącą przed tak głębokimi przejęciami systemu operacyjnego.

grammm oferuje w ten sposób bezpieczniejszą alternatywę dla MS Exchange, czy to na miejscu, czy u jednego z naszych partnerów hostingowych.
Zapraszamy do kontakt nas.