حذرت وكالة الأمن القومي (NSA) مؤخرًا من أن الجهات الخبيثة لم تتوقف عن السعي لاستغلال ثغرة CVE-2020-0688 في خوادم Microsoft Exchange التي تواجه الإنترنت.
ربما لن يكون هذا التهديد بالذات شيئًا يمكن الكتابة عنه الآن بعد أن تم تصحيح جميع المؤسسات ذات الخوادم الضعيفة كما أوصت Microsoft.
وفقًا لتغريدة من وكالة الأمن القومي ، يحتاج المتسلل إلى بيانات اعتماد بريد إلكتروني صالحة فقط لتنفيذ التعليمات البرمجية على خادم غير مُرقَّى ، عن بُعد.
تنفيذ التعليمات البرمجية عن بعد #القابلية للتأثر (CVE-2020-0688) موجود في Microsoft Exchange Server. إذا لم يتم تصحيحه ، يمكن للمهاجم الذي لديه بيانات اعتماد البريد الإلكتروني تنفيذ الأوامر على الخادم الخاص بك.
إرشادات التخفيف متوفرة على: https://t.co/MMlBo8BsB0
- NSA / CSS (NSAGov) 7 مارس 2020
يقوم ممثلو APT بخرق الخوادم غير المصححة بشكل نشط
أخبار من عملية مسح واسعة النطاق لخوادم MS Exchange غير المصححة ظهرت في 25 فبراير 2020. في ذلك الوقت ، لم يكن هناك تقرير واحد عن حدوث اختراق ناجح للخادم.
لكن منظمة الأمن السيبراني ، مبادرة Zero Day ، نشرت بالفعل ملف فيديو إثبات المفهوم، لتوضيح كيفية تنفيذ هجوم CVE-2020-0688 عن بُعد.
يبدو الآن أن البحث عن خوادم مكشوفة تواجه الإنترنت قد أثمرت معاناة العديد من المنظمات التي تم اكتشافها على حين غرة. وفقًا لتقارير متعددة ، بما في ذلك تغريدة من قبل شركة للأمن السيبراني ، هناك استغلال نشط لخوادم Microsoft Exchange.
الاستغلال النشط لخوادم Microsoft Exchange من قبل الجهات الفاعلة في APT عبر ثغرة ECP CVE-2020-0688. تعرف على المزيد حول الهجمات وكيفية حماية مؤسستك هنا: https://t.co/fwoKvHOLaV#dfir# تهديدات#أمن المعلوماتpic.twitter.com/2pqe07rrkg
- Volexity (Volexity) 6 مارس 2020
الأمر الأكثر إثارة للقلق هو مشاركة الجهات الفاعلة في مجال التهديد المستمر المتقدم (APT) في المخطط بأكمله.
عادةً ما تكون مجموعات APT عبارة عن دول أو كيانات ترعاها الدولة. من المعروف أن لديهم التكنولوجيا والعضلات المالية لمهاجمة بعض شبكات أو موارد تكنولوجيا المعلومات الخاصة بالشركات التي تخضع لحراسة مشددة.
صنفت Microsoft خطورة الثغرة الأمنية CVE-2020-0688 على أنها مهمة منذ شهر تقريبًا. ومع ذلك ، يجب أن تظل ثغرة RCE تستحق الدراسة الجادة اليوم ، نظرًا لأن وكالة الأمن القومي تُذكِّر عالم التكنولوجيا بها.
خوادم MS Exchange المتأثرة
تأكد من التصحيح في أسرع وقت ممكن لمنع حدوث كارثة محتملة إذا كنت لا تزال تستخدم خادم MS Exchange غير مسبوق يواجه الإنترنت. يوجد تحديثات الأمان لإصدارات الخادم المتأثرة 2010 و 2013 و 2016 و 2019.
عند إصدار التحديثات ، قالت Microsoft إن الثغرة الأمنية المعنية أضعفت قدرة الخادم على إنشاء مفاتيح التحقق بشكل صحيح أثناء التثبيت. يمكن للمهاجم استغلال هذه الثغرة وتنفيذ تعليمات برمجية ضارة في نظام مكشوف عن بعد.
تسمح معرفة مفتاح التحقق للمستخدم المصادق عليه بصندوق بريد بتمرير كائنات عشوائية ليتم إلغاء تسلسلها بواسطة تطبيق الويب ، والذي يتم تشغيله كنظام.
يعتقد معظم الباحثين في مجال الأمن السيبراني أن اختراق نظام تكنولوجيا المعلومات بهذه الطريقة قد يمهد الطريق لهجمات رفض الخدمة (DDoS). ومع ذلك ، لم تقر Microsoft بتلقي تقارير عن مثل هذا الانتهاك.
في الوقت الحالي ، يبدو أن تثبيت التصحيح هو العلاج الوحيد المتاح لثغرة خادم CVE-2020-0688.
