Tuto zranitelnost je možné zneužít vzdáleným spuštěním kódu na severu přístupném v síti nebo z internetu bez autentizace. Zranitelnost se týká verzí 2010, 2013, 2016 a 2019. Uživatelé cloudových služeb Exchange Online nejsou zranitelností zasaženi.
Proof-of-concept ani exploit zatím nebyl zveřejněn, nicméně v nejbližších dnech hrozí jejich zveřejnění, tudíž by docházelo k plošným útokům.
Není potřeba v případě, kdy neběží Exchange Server on-premise.
Pokud provozujete on-premise Exchange server přístupný z internetu, doporučujeme neprodleně prověřit stav a zavést ochranná opatřen
1. Ujistěte se, zda máte nejaktuálnější verzi Microsoft Exchange Server
2. Zaveďte potřebná opatření:
3. Prověřte indikátory kompromitace v seznamu níže, zejména je potřeba prověřit logy Exchange server na přístupy obsahující řetězec "'powershell.*autodiscover\.json.*\@.*200".
4. Prověřte nestandardní aktivitu na Exchange serveru a akce uvnitř sítě, zejména zakládání či změny privilegovaných účtů, zvýšený objem odchozího provozu, skenování či komunikace na jiné stroje v síti.
Proveďte kontrolu indikátorů alespoň od srpna 2022. V případě odhalení kompromitace serveru nebo indikátoru nás kontaktujte na adrese cert.incident@nukib.cz.
Kompletní informace ke zranitelnosti naleznete ZDE.
Zdroj: NÚKIB