Gegužės viduryje JAV Kibernetinio saugumo ir infrastruktūros agentūra (CISA) į savo aktyviai išnaudojamų spragų sąrašą skubos tvarka įtraukė dar vieną pažeidžiamumą. Šįkart taikinyje – dešimtys tūkstančių organizacijų visame pasaulyje, naudojančių „Microsoft Exchange Server“ pašto serverius. Įsilaužėliams užtenka vieno laiško.
„Microsoft“ šią savaitę išleido birželio saugumo pataisas, tarp kurių – ir pataisa pažeidžiamumui CVE-2026-42897, leidžiančiam nuotoliniams užpuolikams be jokių privilegijų vykdyti „cross-site scripting“ atakas prieš „Outlook Web Access“ vartotojus.
Viskas prasideda nuo vieno laiško
Atakos mechanizmas gudrus savo paprastumu. Užpuolikas siunčia specialiai suformuotą laišką aukai. Jei gavėjas jį atidaro per internetinę „Outlook“ pašto versiją, naršyklėje gali būti įvykdytas savavališkas „JavaScript“ kodas. Praktiškai tai reiškia, kad įsilaužėlis gali perimti vartotojo sesiją, pavogti prisijungimo duomenis arba gauti prieigą prie visos organizacijos pašto sistemos.
// reklamaČia gali būti jūsų reklamaSusisiekite →„Microsoft“ gegužės viduryje aktyvavo automatinę laikiną apsaugą per „Exchange Emergency Mitigation Service“ (EEMS) – tai reiškia, kad dalis serverių buvo apsaugoti dar iki pataisų pasirodymo. Tačiau ši apsauga yra laikina ir ne visos organizacijos ją gavo laiku.
Pažeidžiamumas veikia „Exchange Server 2016“, „Exchange Server 2019“ ir „Exchange Server Subscription Edition“ (SE) versijas. „Microsoft“ ragina administratorius kuo skubiau įdiegti pataisas, net jei EEMS apsauga jau aktyvuota – tai suteikia papildomą gynybos lygmenį.
Kodėl tai svarbu ir Lietuvai
CISA suteikė šiai spragai aukštą prioritetą ir įsakė JAV vyriausybinėms agentūroms atnaujinti sistemas per dvi savaites, iki gegužės 29 d. Ne veltui – per pastaruosius penkerius metus CISA į savo sąrašą įtraukė jau dvidešimt su „Exchange Server“ susijusių pažeidžiamumų, iš kurių keturiolika buvo išnaudotos išpirkos reikalaujančių programišių grupuočių.
Lietuvoje „Exchange Server“ naudoja šimtai viešojo sektoriaus institucijų, universitetų ir įmonių. Nors statistika apie lokalius incidentus dėl CVE-2026-42897 kol kas viešai neskelbiama, regioninė rizika išlieka aukšta – panašios spragos anksčiau buvo aktyviai išnaudojamos ir prieš Baltijos šalių taikinius.
Po to, kai pernai spalį baigėsi oficialus „Exchange 2016“ ir „Exchange 2019“ palaikymas, CISA kartu su JAV Nacionalinio saugumo agentūra (NSA) išleido atskiras rekomendacijas, kaip apsaugoti šiuos serverius. Organizacijoms, vis dar naudojančioms senesnes versijas, rekomenduojama nedelsiant atnaujinti į palaikomas arba apsvarstyti perėjimą prie „Exchange Online“.
Dažnai užduodami klausimai
- Kaip sužinoti, ar mūsų organizacijos „Exchange“ serveris yra pažeidžiamas?
- Pirmiausia pasitikrinkite, kokią „Exchange Server“ versiją naudojate. Jei tai 2016, 2019 arba SE versija ir neįdiegėte 2026 m. birželio pataisų – jūsų serveris pažeidžiamas. Kreipkitės į savo IT administratorių.
- Ar pakanka EEMS automatinės apsaugos?
- EEMS suteikia laikiną apsaugą, tačiau „Microsoft“ rekomenduoja įdiegti pilnas saugumo pataisas. EEMS yra greitoji pagalba, o pataisos – ilgalaikis sprendimas.
