Pahatahtlikud näitlejad pole loobunud CVE-2020-0688 haavatavuse ärakasutamisest Interneti-suunalistes Microsoft Exchange'i serverites, hoiatas Rahvusliku Julgeoleku Agentuur (NSA) hiljuti.
Sellest konkreetsest ohust poleks ilmselt midagi koju kirjutada, kui kõik haavatavate serveritega organisatsioonid on lappinud nagu Microsoft soovitas.
NSA Twitteri teatel on häkkeril kehtivaid e-posti aadressi vaja ainult koodi täitmiseks kaugpaigutamata serveris.
Koodi kaugkäivitamine # haavatavus (CVE-2020-0688) on olemas Microsoft Exchange Serveris. Parandamata jätmise korral saab e-posti mandaadiga ründaja teie serveris käske täita.
Leevendusjuhised on saadaval aadressil: https://t.co/MMlBo8BsB0
- NSA / CSS (@NSAGov) 7. märts 2020
APT näitlejad rikuvad aktiivselt parandamata servereid
Uudised laiaulatusliku MS Exchange'i serverite skannimise pind kerkis esile 25. veebruaril 2020. Sel ajal ei olnud ühtegi edukat serveririkkumist käsitlevat teadet.
Kuid küberturvalisuse organisatsioon Zero Day Initiative avaldas juba a kontseptsioonivideo, mis näitab, kuidas teostada kaugrünnak CVE-2020-0688.
Nüüd näib, et paljastatud Interneti-põhiste serverite otsimine on vilja kandnud mitme ootamatult tabatud organisatsiooni piinadest. Vastavalt mitmetele andmetele, sealhulgas küberturbeettevõtte piiksatusele, kasutatakse Microsoft Exchange'i servereid aktiivselt.
Microsoft Exchange'i serverite aktiivne kasutamine APT osalejate poolt ECP haavatavuse CVE-2020-0688 kaudu. Lisateavet rünnakute ja oma organisatsiooni kaitsmise kohta leiate siit: https://t.co/fwoKvHOLaV#dfir# threatintel#infosecpic.twitter.com/2pqe07rrkg
- Volexity (@Volexity) 6. märts 2020
Veelgi murettekitavam on arenenud püsivate ohtude (APT) osaliste kaasamine kogu skeemi.
Tavaliselt on APT rühmad osariigid või riigi toetatavad üksused. Neil on teadaolevalt tehnikat ja rahandust, et rünnata varjatult ettevõtte kõige tugevamalt kaitstud IT-võrke või -ressursse.
Microsoft hindas CVE-2020-0688 haavatavuse raskust peaaegu kuu tagasi oluliseks. Kuid RCE lünk peab tänapäevalgi tõsist tähelepanu pöörama, kuna NSA tuletab sellest tehnikamaailmale meelde.
Mõjutatud MS Exchange'i serverid
Potentsiaalse katastroofi vältimiseks lappige ASAP kindlasti, kui kasutate endiselt parandamata internetipõhist MS Exchange'i serverit. Seal on turvavärskendused mõjutatud serveri versioonide 2010, 2013, 2016 ja 2019 jaoks.
Värskenduste väljaandmisel ütles Microsoft, et kõnealune haavatavus kahjustas serveri võimet installimise ajal õigesti valideerimisvõtmeid genereerida. Ründaja võib seda lünka ära kasutada ja pahatahtliku koodi käivitada avatud süsteemis eemalt.
Valideerimisvõtme tundmine võimaldab postkastiga autentitud kasutajal suvaliste objektide deserialiseerimist veebirakenduses, mis töötab SYSTEM.
Enamik küberturvalisuse uurijaid usub, et IT-süsteemi sellisel viisil rikkumine võib sillutada teed teenuse keelamise (DDoS) rünnakutele. Microsoft pole siiski teadnud, et sellisest rikkumisest teateid on saadud.
Praegu näib, et plaastri installimine on CVE-2020-0688 serveri haavatavuse ainus võimalik lahendus.
