/* Urbjam un lāpam */

2021. gads Exchange adminiem atnesa daudz darba.

Iepriekš par šiem serveriem varēja daudz nedomāt. Kā jau visos epasta risinājumos, ik pa laikam bija jāpavēro diska vieta un jāpielāgo spam filtri, bet savādāk kārtīgi sakonfigurēts Exchange serveru pāris varēja strādāt gadiem bez būtiskām izmaiņām.

Tā tas bija līdz šī gada martam, kad ķīniešu pētnieks Orange Tsai publicēja ProxyLogon ievainojamību kopu un daudzas organizācijas atklāja, ka viņu serveri ir tikuši uzlauzti caur šīm ievainojamībām vēl pirms Microsoft izlaida savus ielāpus.

Nu jau pusgada laikā katru mēnesi tiek publicēti jauni ielāpi, kas labo kārtējos caurumus. Daudzas no šīm ievainojamībām atklāja tas pats pētnieks, Orange Tsai, kas prezentēja savu metodoloģiju DEF CON konferencē: ProxyLogon — Just Tip of the Iceberg, New Attack Surface on Exchange Server. Bet Exchange auditēšanai ir pievērsušies arī citi pētnieki, kompānijas un pat NSA.

Nupat 9. novembrī tika atklāta kārtējā kritiskā ievainojamība CVE-2021-42321, ko atkal uzbrucēji izmantojuši vēl pirms Microsoft patchu publicēšanas un kas noved pie Remote Code Execution (attālinātas patvaļīgā koda palaišanas), ļaujot uzbrucējiem pārņemt kontroli pār uzlauzto serveri.

Ņemot vērā lielo ievainojamību skaitu un daudzas automatizētās uzbrukumu kampaņas, visiem Microsoft Exchange administratoriem jāzin kā atpazīt uzlauztu serveri un kā rīkoties, ja ir aizdomas par servera inficēšanu.