Ако вашият Microsoft Exchange Server е онлайн, добре се справяте кръпка веднага, ако още не сте го направили. Microsoft не е предложила решение за настоящата заплаха CVE-2020-0688, така че изглежда, че инсталирането на корекцията е единствената ви жизнеспособна опция за момента.
Тече масово сканиране за уязвимостта CVE-2020-0688
Когато, след като се научиха от анонимен изследовател, хората от Zero Day Initiative публикуваха демонстрация на уязвимостта на дистанционното изпълнение на код на MS Exchange Server (RCE), те просто искаха да обучават потребителите. В края на краищата Microsoft по-рано беше издал корекция за отстраняване на грешката.
Но хакерите имаха други идеи. Малко след като тази информация влезе в публичното достояние, те започнаха мащабно търсене на неизправени Exchange Server в мрежата, според множество доклади.
Това беше бързо, тъй като преди 2 часа се наблюдава вероятно масово сканиране за CVE-2020-0688 (уязвимост на Microsoft Exchange 2007+ RCE). pic.twitter.com/Kp3zOi5AOA
- Кевин Бомонт (@GossiTheDog) 25 февруари 2020 г.
Дейността за масово сканиране на CVE-2020-0688 започна. Заявете нашия API за „тагове = CVE-2020-0688“, за да намерите хостове, извършващи сканиране. #threatintel
- Отчет за лоши пакети (@bad_packets) 25 февруари 2020 г.
Такива лоши актьори обикновено не сканират за кибер уязвимости заради това. Ако текущото им търсене даде нещо, те със сигурност ще се опитат да използват вратичката CVE-2020-0688.
Засега няма съобщения за успешна експлоатация на CVE-2020-0688 от злонамерени лица. Надяваме се, че ще сте осигурили сървъра си, докато хакерите го намерят в кръста си.
Какво представлява грешката CVE-2020-0688?
Според Microsoft, CVE-2020-0688 е уязвимост на RCE, при която Exchange Server не успява да генерира правилно уникални ключове по време на инсталацията.
Познаването на ключа за проверка позволява на удостоверен потребител с пощенска кутия да предава произволни обекти, които да бъдат десериализирани от уеб приложението, което работи като СИСТЕМА. Актуализацията на защитата адресира уязвимостта, като коригира начина, по който Microsoft Exchange създава ключовете по време на инсталирането.
Криптографските ключове са в основата на сигурността на всякакви данни или ИТ система. Когато хакерите успеят да ги дешифрират при експлойт на CVE-2020-0688, те могат да поемат контрола над Exchange Server.
Microsoft обаче оценява тежестта на заплахата като важна, а не като критична. Може би това е така, защото нападателят все пак ще изисква удостоверяване, за да използва ключовете за проверка.
Определен хакер все още може да получи идентификационни данни за сигурност чрез други средства, като фишинг, след което те биха могли удобно да предприемат атака CVE-2020-0688.
Имайте предвид, че не всички нарушения на киберсигурността произхождат от подли играчи, живеещи в скривалище в мазе или чужда държава. Заплахите могат да идват от вътрешни участници с валидно удостоверяване.
Веднъж хакерите се възползваха от подобна вратичка, PrivExchange, за да получите администраторските права на MS Exchange Server.
