Злонамерените актьори не спират да се опитват да използват уязвимостта на CVE-2020-0688 в интернет сървърите на Microsoft Exchange, предупреди наскоро Агенцията за национална сигурност (NSA).
Вероятно тази конкретна заплаха нямаше какво да се пише вкъщи, ако всички организации с уязвими сървъри бяха закърпени, както препоръча Microsoft.
Според чуруликане от NSA, хакер се нуждае само от валидни имейл идентификационни данни, за да изпълнява код на неспачен сървър, дистанционно.
Отдалечено изпълнение на код # уязвимост (CVE-2020-0688) съществува в Microsoft Exchange Server. Ако не е изпратен, хакер с имейл идентификационни данни може да изпълнява команди на вашия сървър.
Насоки за смекчаване на достъпа на: https://t.co/MMlBo8BsB0
- NSA / CSS (@NSAGov) 7 март 2020 г.
Актьорите от APT активно нарушават неизправените сървъри
Новини на мащабно сканиране за неизправени сървъри на MS Exchange се появи на 25 февруари 2020 г. По това време нямаше нито един доклад за успешен пробив на сървъра.
Но организация за киберсигурност, Zero Day Initiative, вече беше публикувала
доказателство за концепция видео, демонстрирайки как да се изпълни отдалечена атака CVE-2020-0688.Сега изглежда, че търсенето на открити сървъри, изправени пред интернет, е дало плодове на агонията на няколко организации, изненадани. Според множество доклади, включително Tweet от фирма за киберсигурност, има активна експлоатация на сървъри на Microsoft Exchange.
Активно използване на Microsoft Exchange сървъри от APT участници чрез ECP уязвимостта CVE-2020-0688. Научете повече за атаките и как да защитите вашата организация тук: https://t.co/fwoKvHOLaV#dfir#threatintel#infosecpic.twitter.com/2pqe07rrkg
- Volexity (@Volexity) 6 март 2020 г.
Още по-тревожно е участието на участници в Advanced Persistent Threat (APT) в цялата схема.
Обикновено групите APT са щати или финансирани от държавата субекти. Известно е, че разполагат с технология и финансов мускул, за да атакуват тайно някои от най-строго охраняваните корпоративни ИТ мрежи или ресурси.
Microsoft оцени сериозността на уязвимостта CVE-2020-0688 като важна преди почти месец. Въпреки това, вратичката на RCE трябва да заслужава сериозно внимание и днес, тъй като NSA напомня на технологичния свят за това.
Засегнати сървъри на MS Exchange
Не забравяйте да поправите ASAP, за да предотвратите потенциална катастрофа, ако все още работите с незаправен интернет сървър на MS Exchange. Има актуализации на защитата за засегнатите сървърни версии 2010, 2013, 2016 и 2019.
При пускането на актуализациите Microsoft заяви, че въпросната уязвимост компрометира способността на сървъра да генерира правилно ключове за проверка по време на инсталацията. Атакуващият може да използва тази вратичка и да изпълнява злонамерен код в открита система дистанционно.
Познаването на ключ за проверка позволява на удостоверен потребител с пощенска кутия да предава произволни обекти, които да бъдат десериализирани от уеб приложението, което работи като СИСТЕМА.
Повечето изследователи по киберсигурност вярват, че нарушаването на ИТ система по този начин може да проправи пътя за атаки с отказ на услуга (DDoS). Microsoft обаче не призна, че е получавала съобщения за такова нарушение.
Засега изглежда, че инсталирането на корекцията е единственото средство за отстраняване на уязвимостта на сървъра CVE-2020-0688.
