Böswillige Akteure haben nicht aufgehört, die Schwachstelle CVE-2020-0688 in mit dem Internet verbundenen Microsoft Exchange-Servern auszunutzen, warnte die National Security Agency (NSA) kürzlich.
Diese spezielle Bedrohung wäre wahrscheinlich nichts Besonderes, wenn alle Organisationen mit anfälligen Servern wie von Microsoft empfohlen gepatcht würden.
Laut einem Tweet der NSA benötigt ein Hacker nur gültige E-Mail-Anmeldeinformationen, um Code auf einem ungepatchten Server aus der Ferne auszuführen.
Eine Remote-Code-Ausführung #Verletzlichkeit (CVE-2020-0688) ist in Microsoft Exchange Server vorhanden. Ohne Patch kann ein Angreifer mit E-Mail-Anmeldeinformationen Befehle auf Ihrem Server ausführen.
Minderungsanleitung verfügbar unter: https://t.co/MMlBo8BsB0
— NSA/CSS (@NSAGov) 7. März 2020
APT-Akteure verletzen aktiv ungepatchte Server
Nachrichten eines groß angelegten Scans nach ungepatchten MS Exchange-Servern am 25. Februar 2020 aufgetaucht. Zu diesem Zeitpunkt gab es keinen einzigen Bericht über einen erfolgreichen Serverbruch.
Aber eine Cybersicherheitsorganisation, die Zero Day Initiative, hatte bereits eine Proof-of-Concept-Video, die demonstriert, wie ein CVE-2020-0688-Remoteangriff ausgeführt wird.
Jetzt sieht es so aus, als ob die Suche nach exponierten, mit dem Internet verbundenen Servern Früchte für die Qual mehrerer Unternehmen getragen hat, die überrascht wurden. Mehreren Berichten zufolge, darunter ein Tweet einer Cybersicherheitsfirma, gibt es eine aktive Ausbeutung von Microsoft Exchange-Servern.
Aktive Ausnutzung von Microsoft Exchange-Servern durch APT-Akteure über die ECP-Schwachstelle CVE-2020-0688. Erfahren Sie hier mehr über die Angriffe und wie Sie Ihr Unternehmen schützen können: https://t.co/fwoKvHOLaV#dfir#bedrohung#infosecpic.twitter.com/2pqe07rrkg
— Volexität (@Volexity) 6. März 2020
Noch alarmierender ist die Beteiligung von Advanced Persistent Threat (APT)-Akteuren an dem gesamten System.
Typischerweise sind APT-Gruppen Staaten oder staatlich gesponserte Entitäten. Sie sind dafür bekannt, dass sie über die technische und finanzielle Stärke verfügen, um heimlich einige der am stärksten bewachten IT-Netzwerke oder -Ressourcen von Unternehmen anzugreifen.
Microsoft hat den Schweregrad der Schwachstelle CVE-2020-0688 vor knapp einem Monat als wichtig eingestuft. Die RCE-Lücke muss jedoch auch heute noch ernsthaft in Betracht gezogen werden, da die NSA die Tech-Welt daran erinnert.
Betroffene MS Exchange Server
Stellen Sie sicher, dass Sie so schnell wie möglich patchen, um eine potenzielle Katastrophe zu verhindern, wenn Sie immer noch einen ungepatchten MS Exchange-Server mit Internetzugriff ausführen. Es gibt Sicherheitsupdates für die betroffenen Serverversionen 2010, 2013, 2016 und 2019.
Bei der Veröffentlichung der Updates teilte Microsoft mit, dass die fragliche Schwachstelle die Fähigkeit des Servers beeinträchtigt habe, während der Installation Validierungsschlüssel ordnungsgemäß zu generieren. Ein Angreifer könnte diese Lücke ausnutzen und bösartigen Code in einem exponierten System aus der Ferne ausführen.
Die Kenntnis eines Validierungsschlüssels ermöglicht es einem authentifizierten Benutzer mit einer Mailbox, beliebige Objekte zu übergeben, die von der Webanwendung, die als SYSTEM ausgeführt wird, deserialisiert werden sollen.
Die meisten Cybersicherheitsforscher glauben, dass ein solcher Angriff auf ein IT-System den Weg für Denial-of-Service-Angriffe (DDoS) ebnen kann. Microsoft hat jedoch nicht bestätigt, Berichte über einen solchen Verstoß erhalten zu haben.
Im Moment scheint es, dass die Installation des Patches die einzige verfügbare Abhilfe für die Server-Schwachstelle CVE-2020-0688 ist.
