HAFNIUM vaaransi paikalliset Exchange-ympäristöt – mitä seuraavaksi?

Microsoft julkaisi viime viikolla Exchange-ympäristöön ylimääräiset korjaukset, joilla paikattiin neljä nollapäivähaavoittuvuutta paikallisissa Exchange-järjestelmissä. Haavoittuvuuksien ketjua hyväksikäyttäen hyökkääjät pääsivät murtautumaan paikallisille palvelimille, ja arvioiden mukaan hyökkäyksen kohteeksi joutuneita ympäristöjä voi olla jopa kymmeniä tuhansia. Kokemukseni mukaan Exchange-palvelinten ylläpitäjät reagoivat tietoon nopeasti, ja palvelimia lähdettiin välittömästi päivittämään. Mutta kun haavoittuvuuksien paikkaus on hoidettu, mitä pitäisi tehdä seuraavaksi? Tässä suositukseni:

• Selvitä, olitko hyökkäyksen uhri. Microsoftin blogiartikkelissa tarjotaan ohjeet siitä, kuinka hyökkäyksen jäljet voidaan tunnistaa. Pyydä apua tarvittaessa.

• Pidä Exchange-ympäristö ajan tasalla. Microsoft suosittelee viimeisimmässä päivitysversiossa pysymistä. Myös HAFNIUM-korjaukset edellyttivät aluksi sitä, ja vasta myöhemmin Microsoft tarjosi korjaukset myös vanhemmille päivitysversioille. Ajan tasalla pidetyt ympäristöt saivat siis nopeampaa palvelua. Tähän on syytä olla jatkuva prosessi mietittynä.

• Siirrä postilaatikot pilveen, elleivät ne ole jo. Microsoft 365 tarjoaa sähköpostipalvelut paremmalla tietoturvalla, suuremmalla kapasiteetilla ja uudemmilla käyttöliittymillä. Näin paikallisen Exchange-palvelimen rooli saadaan pienemmäksi.

• Panosta parempaan suojaan. Hyökkäyksen havainnointi tuotiin pian päivityksen julkaisun jälkeen sekä Microsoftin Defender AV -antivirusohjelmistoon että pilvipohjaiseen Defender for Endpoint EDR-tuotteeseen. Etenkin jälkimmäisen ulottaminen Exchange-palvelinten suojaukseen takaa jatkossa nopeimman reagointikyvyn uusien uhkien osalta. Myös palvelinlokien pitkäaikaissäilytys Azure Sentinel SIEM-palvelussa on hyvä idea helpomman jatkotutkinnan kannalta.

• Pienennä hyökkäysrajapintaa. Tarvitsetko pilvisiirtymän jälkeen täyttä Exchangen hybriditoiminnallisuutta? Pelkästään AD-objektien hallintaa ja postirelay-toimintoja varten ei tarvitse paikallisen Exchangen palveluita pitää Internetiin julkaistuna.

• Tee suunnitelma tulevaisuutta varten. Tällä hetkellä Exchange Onlinen käyttö on AD-hakemistosynkronoinnin kanssa tuettua vain, jos paikallisesta ympäristöstä löytyy Exchange-palvelin AD-objektien hallintaa varten. Exchange-versioista täyden tuen piirissä on vain 2019. Microsoft on jo aiemmin kertonut, että valmistelussa on päivitys, joka mahdollistaisi paikallisen Exchange-palvelimen tuetun poistamisen. Se tuodaan mahdollisesti tarjolle myös 2016-versioon, vaikka muuten se saa enää tietoturvapäivityksiä. Tuohon kannattaa jo alkaa alustavasti varautumaan:
  • Onhan Exchange-ympäristö vähintään 2016-tasoa?
  • Kuinka hoidetaan AD-objektien hallinta, jos joskus paikallisesta Exchange-palvelimista luovutaan? Tulisiko joitain objekteja siirtää pilvihallituiksi?
  • Kuinka sisäisten liiketoimintajärjestelmien postien välitys järjestetään jatkossa?

• Suojaa pilvipalvelu paikalliselta ympäristöltä. Jo Solorigate-kohun yhteydessä Microsoft julkaisi ohjeet siitä, kuinka varmistetaan Microsoft 365 -ympäristön eheys paikalliseen ympäristöön kohdistuvissa hyökkäyksissä. Ohjeet ovat edelleen hyvin ajankohtaisia.

• Microsoft Exchange