Zločinní herci nepřestali hledat zneužití chyby zabezpečení CVE-2020-0688 na serverech Microsoft Exchange orientovaných na internet, varovala nedávno Národní bezpečnostní agentura (NSA).
Tato konkrétní hrozba by pravděpodobně už nebyla ničím, o čem by se dalo psát doma, kdyby všechny organizace se zranitelnými servery byly opraveny podle doporučení společnosti Microsoft.
Podle Tweetu od NSA potřebuje hacker pouze ke spuštění kódu na neopraveném serveru vzdálená platná e-mailová pověření.
Vzdálené spuštění kódu #zranitelnost (CVE-2020-0688) existuje na serveru Microsoft Exchange Server. Pokud není opraven, může útočník s e-mailovými údaji provádět příkazy na vašem serveru.
Pokyny ke zmírnění dopadů jsou k dispozici na adrese: https://t.co/MMlBo8BsB0
- NSA / CSS (@NSAGov) 7. března 2020
Aktéři APT aktivně porušují neopravené servery
Zprávy 25. února 2020 se objevilo rozsáhlé skenování pro neopravené servery MS Exchange. V té době neexistovala žádná zpráva o úspěšném narušení serveru.
Organizace pro kybernetickou bezpečnost, Zero Day Initiative, však již zveřejnila a
video o konceptu, což ukazuje, jak provést vzdálený útok CVE-2020-0688.Nyní to vypadá, že hledání odhalených serverů orientovaných na internet přineslo ovoce agónii několika neočekávaně zasažených organizací. Podle několika zpráv, včetně tweetu od firmy zabývající se kybernetickou bezpečností, dochází k aktivnímu využívání serverů Microsoft Exchange.
Aktivní využívání serverů Microsoft Exchange aktéry APT prostřednictvím chyby zabezpečení ECP CVE-2020-0688. Další informace o útocích a ochraně vaší organizace naleznete zde: https://t.co/fwoKvHOLaV#dfir#threatintel#infosecpic.twitter.com/2pqe07rrkg
- Volexity (@Volexity) 6. března 2020
Ještě znepokojivější je zapojení aktérů Advanced Persistent Threat (APT) do celého systému.
Skupinami APT jsou obvykle státy nebo subjekty sponzorované státem. Je o nich známo, že mají technické a finanční síly k nenápadnému útoku na některé z nejvíce střežených podnikových IT sítí nebo zdrojů.
Společnost Microsoft téměř před měsícem vyhodnotila závažnost chyby zabezpečení CVE-2020-0688 jako důležitou. Mezera v RCE si však i dnes musí zasloužit vážné zvážení, protože NSA tomu připomíná technologický svět.
Ovlivněné servery MS Exchange
Pokud stále provozujete neopravený internetový server MS Exchange, nezapomeňte ASAP opravit, abyste předešli potenciální katastrofě. Existují aktualizace zabezpečení pro ovlivněné verze serveru 2010, 2013, 2016 a 2019.
Při vydávání aktualizací společnost Microsoft uvedla, že dotyčná chyba zabezpečení narušila schopnost serveru správně generovat ověřovací klíče během instalace. Útočník by mohl tuto mezeru zneužít a spustit nebezpečný kód v exponovaném systému na dálku.
Znalost ověřovacího klíče umožňuje ověřenému uživateli s poštovní schránkou předat libovolné objekty, které mají být deserializovány webovou aplikací, která běží jako SYSTÉM.
Většina výzkumníků v oblasti kybernetické bezpečnosti věří, že takto narušené IT systémy mohou připravit půdu pro útoky typu Denial of Service (DDoS). Microsoft však neuznal přijímání zpráv o takovém porušení.
Prozatím se zdá, že instalace opravy je jediným dostupným řešením nápravy zranitelnosti serveru CVE-2020-0688.
