Sió-Informatika Rendszerház

HÍREK

Microsoft figyelmeztetés: aktív támadások zajlanak helyszíni Exchange szerverek ellen speciális emaileken keresztül

Exchange Server sérülékenység

A legfontosabb üzenet: az internet-facing on-prem Exchange rendszerek továbbra is a világ legveszélyesebb vállalati támadási felületei közé tartoznak.

A Microsoft sürgős figyelmeztetést adott ki egy újonnan felfedezett sérülékenység miatt, amely az on-premises Microsoft Exchange Server rendszereket érinti, és amelyet már aktívan kihasználnak valódi támadásokban.

A sérülékenység:

  • CVE-2026-42897
  • CVSS 8.1

A támadók speciálisan kialakított emailekkel képesek lehetnek:

  • rosszindulatú JavaScript futtatására
  • Outlook Web Access (OWA) munkamenetek eltérítésére
  • mailbox adatok manipulálására
  • érzékeny információk megszerzésére

Mi a probléma lényege?

A hiba:

  • improper neutralization of user input during web page generation
  • vagyis hibás inputkezelés az OWA webes renderelési folyamatában

A sérülékenység technikailag:

  • egy XSS-jellegű (cross-site scripting) probléma

A támadás:

  • egyetlen speciálisan kialakított emaillel indítható
  • hitelesítés nélkül
  • távolról

Hogyan működik a támadás?

A támadó:

  1. elküld egy manipulált emailt
  2. az áldozat megnyitja azt Outlook Web Accessben
  3. a böngésző végrehajtja a beágyazott JavaScriptet

Ez lehetővé teheti:

  • session hijackinget
  • mailbox manipulációt
  • tokenlopást
  • oldalirányú mozgást
  • további enterprise kompromittálást

Miért különösen veszélyes ez?

Ez nem klasszikus phishing.

A támadás:

  • az OWA renderelési mechanizmusát használja ki
  • megbízható Exchange környezetben fut
  • legitim böngésző sessionben történik

Ez jelentősen megnehezítheti:

  • EDR detekciót
  • hagyományos AV védelmet
  • felhasználói felismerést

Mely rendszerek érintettek?

Az érintett verziók:

  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019
  • Microsoft Exchange Server Subscription Edition (SE)

Microsoft szerint:

  • minden update szint érintett lehet

Mi NEM érintett?

A Microsoft Exchange Online:

  • nem érintett

Ez ismét kiemeli:

  • a cloud és az on-prem infrastruktúrák közötti biztonsági különbséget

Miért kedvelt célpont az Exchange?

Az on-prem Exchange szerverek évek óta kiemelt célpontok.

Az ok egyszerű:

az Exchange gyakran tartalmazza a vállalat legérzékenyebb adatait:

  • vezetői emailek
  • pénzügyi dokumentumok
  • jogi kommunikáció
  • authentication tokenek
  • belső mellékletek
  • Active Directory integrációk

Microsoft ideiglenes védelmet vezetett be

Mivel még nincs végleges patch, a Microsoft:

  • ideiglenes mitigációkat terjeszt

az úgynevezett:

  • Exchange Emergency Mitigation Service (EEMS)

segítségével.

Mi az EEMS?

Az EEMS:

  • automatikusan URL rewrite szabályokat telepít
  • csökkenti a sérülékenység kihasználhatóságát
  • a ProxyLogon és ProxyShell támadások után vezették be

A szolgáltatás:

  • alapértelmezetten engedélyezett

a támogatott Exchange rendszereken.

Mit kell most ellenőrizni?

Az adminisztrátoroknak:

  • ellenőrizniük kell, hogy az EEMS aktív-e
  • meg kell győződniük a mitigációk alkalmazásáról

Microsoft szerint előfordulhat hibás státuszjelzés:

“Mitigation invalid for this exchange version.”

Ha a státusz:

  • “Applied”

akkor a mitigáció működik.

Mit tegyenek azok, akik izolált környezetet használnak?

Air-gapped vagy korlátozott rendszereknél:

  • Exchange On-premises Mitigation Tool (EOMT)

használata szükséges.

Miért félnek most különösen a szakértők?

A korábbi Exchange incidensek alapján:

  • ProxyLogon
  • ProxyShell
  • ProxyNotShell

a kezdeti célzott támadásokból gyorsan:

  • tömeges automatizált exploitation lett

A szakértők szerint:

ha Microsoft aktív exploitationt jelent be Exchange esetén, akkor hamarosan internet-wide scanning indul.

Milyen támadási lehetőségek nyílhatnak?

Az XSS típusú hibák vállalati rendszerekben gyakran:

  • session thefttel
  • privilege escalationnel
  • token hijackinggel

kombinálhatók.

Ez később:

  • teljes Active Directory kompromittáláshoz
  • laterális mozgáshoz
  • ransomware támadásokhoz

vezethet.

Mit figyeljenek a SOC csapatok?

Kiemelten fontos:

  • OWA aktivitás monitorozása
  • szokatlan JavaScript végrehajtások keresése
  • session anomáliák figyelése
  • mailbox manipulációk vizsgálata
  • authentication logok elemzése

Miért probléma még mindig az on-prem Exchange?

A biztonsági közösség régóta kritizálja:

  • az internet-facing Exchange infrastruktúrák fenntartását

Sok szervezet:

  • compliance
  • legacy integrációk
  • üzleti függőségek

miatt még mindig helyszíni Exchange-et használ.

A CISA és európai hatóságok korábban is figyelmeztettek

A Cybersecurity and Infrastructure Security Agency és európai CERT-ek többször figyelmeztettek:

  • internet-facing szolgáltatások csökkentésére
  • zero trust modellek bevezetésére
  • Exchange hardening fontosságára

Mit kell most azonnal megtenni?

Microsoft ajánlása
  • EEMS ellenőrzése
  • mitigációk azonnali telepítése
  • Exchange internet exposure csökkentése
  • OWA monitorozás
  • authentication log elemzés
  • incident response readiness előkészítése
Miért sürgős?

A támadók történelmileg rendkívül gyorsan weaponizálják az Exchange hibákat.

A szakértők szerint:

a védőknek most nagyon szűk időablakuk lehet a rendszerek védelmére.

Összegzés

A Microsoft megerősítette:

  • aktív támadások zajlanak
  • on-prem Exchange szerverek ellen
  • speciális emaileken keresztül

A sérülékenység:

  • CVE-2026-42897
  • CVSS 8.1
  • OWA renderelési hibát használ ki
  • JavaScript futtatást tesz lehetővé

Jelenleg:

  • nincs végleges patch
  • csak ideiglenes mitigáció érhető el

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!