Κακόβουλοι ηθοποιοί δεν σταμάτησαν να εκμεταλλεύονται την ευπάθεια CVE-2020-0688 σε διακομιστές Microsoft Exchange που αντιμετωπίζουν το Διαδίκτυο, προειδοποίησε πρόσφατα η Εθνική Υπηρεσία Ασφάλειας (NSA).
Αυτή η συγκεκριμένη απειλή πιθανότατα δεν θα ήταν τίποτα για να γράψετε στο σπίτι τώρα, εάν είχαν διορθωθεί όλοι οι οργανισμοί με ευάλωτους διακομιστές, όπως είχε προτείνει η Microsoft.
Σύμφωνα με ένα Tweet από την NSA, ένας χάκερ χρειάζεται μόνο έγκυρα διαπιστευτήρια email για την εκτέλεση κώδικα σε έναν μη αντιστοιχισμένο διακομιστή, από απόσταση.
Μια απομακρυσμένη εκτέλεση κώδικα #τρωτό (CVE-2020-0688) υπάρχει στον Microsoft Exchange Server. Εάν δεν έχει επιδιορθωθεί, ένας εισβολέας με διαπιστευτήρια email μπορεί να εκτελέσει εντολές στον διακομιστή σας.
Οδηγίες μετριασμού διαθέσιμες στη διεύθυνση: https://t.co/MMlBo8BsB0
- NSA / CSS (@NSAGov) 7 Μαρτίου 2020
Οι ηθοποιοί του APT παραβιάζουν ενεργά τους μη αντιστοιχισμένους διακομιστές
Νέα μιας μεγάλης κλίμακας σάρωσης για μη αντιστοιχισμένους διακομιστές MS Exchange που εμφανίστηκε στις 25 Φεβρουαρίου 2020. Εκείνη την εποχή, δεν υπήρχε καμία αναφορά για μια επιτυχημένη παραβίαση διακομιστή.
Αλλά ένας οργανισμός ασφάλειας στον κυβερνοχώρο, Zero Day Initiative, είχε ήδη δημοσιεύσει ένα αποδεικτικό βίντεο, δείχνοντας πώς να εκτελέσετε μια απομακρυσμένη επίθεση CVE-2020-0688.
Τώρα φαίνεται ότι η αναζήτηση εκτεθειμένων διακομιστών που αντιμετωπίζουν το Διαδίκτυο απέφερε καρπούς στην αγωνία πολλών οργανώσεων που έχουν καταλάβει χωρίς επίγνωση. Σύμφωνα με πολλές αναφορές, συμπεριλαμβανομένου ενός Tweet από μια εταιρεία ασφάλειας στον κυβερνοχώρο, υπάρχει ενεργή εκμετάλλευση των διακομιστών του Microsoft Exchange.
Ενεργή εκμετάλλευση των διακομιστών Microsoft Exchange από φορείς του APT μέσω της ευπάθειας ECP CVE-2020-0688. Μάθετε περισσότερα σχετικά με τις επιθέσεις και τον τρόπο προστασίας του οργανισμού σας εδώ: https://t.co/fwoKvHOLaV#dfir#threatintel#infosecpic.twitter.com/2pqe07rrkg
- Volexity (@Volexity) 6 Μαρτίου 2020
Αυτό που είναι ακόμα πιο ανησυχητικό είναι η συμμετοχή ηθοποιών Advanced Persistent Threat (APT) σε ολόκληρο το πρόγραμμα.
Συνήθως, οι ομάδες APT είναι πολιτείες ή οντότητες που χρηματοδοτούνται από το κράτος. Είναι γνωστό ότι έχουν την τεχνολογία και τον οικονομικό πυρήνα για να επιτεθούν κρυφά σε μερικά από τα πιο φυλασσόμενα εταιρικά δίκτυα ή πόρους πληροφορικής.
Η Microsoft αξιολόγησε τη σοβαρότητα της ευπάθειας CVE-2020-0688 ως σημαντική σχεδόν πριν από ένα μήνα. Ωστόσο, το κενό RCE πρέπει ακόμη να αξίζει σοβαρή εξέταση σήμερα, καθώς η NSA υπενθυμίζει στον τεχνολογικό κόσμο για αυτό.
Επηρεασμένοι διακομιστές MS Exchange
Φροντίστε να διορθώσετε το συντομότερο δυνατό το ASAP για να προλάβετε μια πιθανή καταστροφή εάν εξακολουθείτε να χρησιμοποιείτε έναν διακομιστή MS Exchange που δεν έχει αντιστοιχιστεί στο Διαδίκτυο. Υπάρχουν ενημερώσεις ασφαλείας για τις εκδόσεις διακομιστών που επηρεάζονται 2010, 2013, 2016 και 2019.
Κατά την κυκλοφορία των ενημερώσεων, η Microsoft δήλωσε ότι η εν λόγω ευπάθεια έθεσε σε κίνδυνο την ικανότητα του διακομιστή να παράγει σωστά κλειδιά επικύρωσης κατά την εγκατάσταση. Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτό το κενό και να εκτελέσει κακόβουλο κώδικα σε ένα εκτεθειμένο σύστημα, από απόσταση.
Η γνώση ενός κλειδιού επικύρωσης επιτρέπει σε έναν επικυρωμένο χρήστη με γραμματοκιβώτιο να μεταβιβάζει αυθαίρετα αντικείμενα που πρέπει να αποστειρωθούν από την εφαρμογή ιστού, η οποία λειτουργεί ως ΣΥΣΤΗΜΑ.
Οι περισσότεροι ερευνητές στον κυβερνοχώρο πιστεύουν ότι η παραβίαση ενός συστήματος πληροφορικής με αυτόν τον τρόπο μπορεί να ανοίξει το δρόμο για επιθέσεις άρνησης υπηρεσίας (DDoS). Ωστόσο, η Microsoft δεν έχει αναγνωρίσει τη λήψη αναφορών για τέτοια παραβίαση.
Προς το παρόν, φαίνεται ότι η εγκατάσταση της ενημέρωσης κώδικα είναι η μόνη διαθέσιμη λύση για την ευπάθεια του διακομιστή CVE-2020-0688.
