Ondsindede skuespillere er ikke stoppet med at søge for at udnytte CVE-2020-0688-sårbarheden på internetudvendte Microsoft Exchange-servere, advarede National Security Agency (NSA) for nylig.
Denne særlige trussel ville sandsynligvis ikke være noget at skrive hjem om nu, hvis alle organisationer med sårbare servere var patchet som Microsoft havde anbefalet.
Ifølge en Tweet fra NSA behøver en hacker kun gyldige e-mail-legitimationsoplysninger for at udføre kode på en ikke-patchet server eksternt.
En ekstern kodeudførelse # sårbarhed (CVE-2020-0688) findes i Microsoft Exchange Server. Hvis den ikke er opdateret, kan en hacker med e-mail-legitimationsoplysninger udføre kommandoer på din server.
Afhjælpningsvejledning tilgængelig på: https://t.co/MMlBo8BsB0
- NSA / CSS (@NSAGov) 7. marts 2020
APT-aktører bryder aktivt upatchede servere
Nyheder af en storstilet scanning for ikke-patchede MS Exchange-servere dukket op den 25. februar 2020. På det tidspunkt var der ingen enkelt rapport om et vellykket serverbrud.
Men en cybersikkerhedsorganisation, Zero Day Initiative, havde allerede offentliggjort en proof-of-concept video, demonstrerer, hvordan man udfører et fjernt CVE-2020-0688-angreb.
Nu ser det ud til, at søgningen efter eksponerede internet-vendte servere har båret frugt for smerter fra flere organisationer, der er fanget uforvarende. Ifølge flere rapporter, herunder en Tweet fra et cybersikkerhedsfirma, er der aktiv udnyttelse af Microsoft Exchange-servere.
Aktiv udnyttelse af Microsoft Exchange-servere af APT-aktører via ECP-sårbarheden CVE-2020-0688. Lær mere om angrebene og hvordan du beskytter din organisation her: https://t.co/fwoKvHOLaV#dfir#threatintel#infosecpic.twitter.com/2pqe07rrkg
- Volexity (@Volexity) 6. marts 2020
Hvad der er endnu mere alarmerende er involveringen af Advanced Persistent Threat (APT) aktører i hele ordningen.
APT-grupper er typisk stater eller statsstøttede enheder. Det er kendt, at de har teknologien og den økonomiske muskel til at snigende angribe nogle af de mest beskyttede virksomheds-it-netværk eller -ressourcer.
Microsoft vurderede sværhedsgraden af CVE-2020-0688-sårbarheden som vigtig for næsten en måned siden. RCE-smuthullet skal dog stadig være seriøst overvejet i dag, da NSA minder teknologiverden om det.
Berørte MS Exchange-servere
Sørg for at lappe ASAP for at forhindre en potentiel katastrofe, hvis du stadig kører en ikke-sendt internetudviklet MS Exchange-server. Der er sikkerhedsopdateringer til de berørte serverversioner 2010, 2013, 2016 og 2019.
Da de udgav opdateringerne, sagde Microsoft, at den pågældende sårbarhed kompromitterede serverens evne til at generere valideringsnøgler korrekt under installationen. En angriber kunne udnytte dette smuthul og udføre ondsindet kode i et udsat system eksternt.
Kendskab til en valideringsnøgle gør det muligt for en godkendt bruger med en postkasse at passere vilkårlige objekter, der skal deserialiseres af webapplikationen, der kører som SYSTEM.
De fleste cybersikkerhedsforskere mener, at overtrædelse af et it-system på denne måde kan bane vejen for DDoS-angreb (Denial of Service). Microsoft har dog ikke anerkendt modtagelse af rapporter om en sådan overtrædelse.
Indtil videre ser det ud til, at installation af patch er det eneste tilgængelige middel til CVE-2020-0688-serverens sårbarhed.
![10 bedste antivirussoftware med gratis prøveversion [Virusbeskyttelse]](/f/fe50cc82ad904e047cc09f44d275a4c7.jpg?width=300&height=460)
