A rosszindulatú szereplők nem hagyták abba a célt, hogy kihasználják a CVE-2020-0688 biztonsági rését az internet felé néző Microsoft Exchange szervereken - figyelmeztetett a napokban a Nemzetbiztonsági Ügynökség (NSA).
Erről a konkrét fenyegetésről valószínűleg semmi sem írhatna haza, mire az összes sérülékeny kiszolgálóval rendelkező szervezet javításra került, ahogy a Microsoft javasolta.
Az NSA tweetje szerint egy hackernek csak érvényes e-mail hitelesítő adatokra van szüksége ahhoz, hogy a kódot egy nem javított kiszolgálón távolról futtassa.
Távoli kódfuttatás #sebezhetőség (CVE-2020-0688) létezik a Microsoft Exchange Server rendszerben. Ha nincs javítva, az e-mail hitelesítő adatokkal rendelkező támadó parancsokat hajthat végre a szerveren.
Enyhítési útmutató elérhető: https://t.co/MMlBo8BsB0
- NSA / CSS (@NSAGov) 2020. március 7
Az APT szereplői aktívan megsértik a nem javított szervereket
hírek a nem javított MS Exchange szerverek széles körű vizsgálata jelent meg 2020. február 25-én. Abban az időben nem volt egyetlen jelentés a szerver sikeres megsértéséről.
De egy kiberbiztonsági szervezet, a Zero Day Initiative már közzétette a koncepció nélküli videó, bemutatva a távoli CVE-2020-0688 támadás végrehajtását.
Most úgy tűnik, hogy a nyilvánosságra hozott internetkiszolgálók keresése meghozta gyümölcsét számos, váratlanul elkapott szervezet kínja miatt. Több jelentés szerint, köztük egy kiberbiztonsági cég által küldött tweet, a Microsoft Exchange szervereit aktívan kihasználják.
A Microsoft Exchange kiszolgálók APT szereplők általi aktív kihasználása a CVE-2020-0688 ECP biztonsági résen keresztül. További információ a támadásokról és a szervezet védelméről itt: https://t.co/fwoKvHOLaV#dfir#threatintel#infosecpic.twitter.com/2pqe07rrkg
- Volexity (@Volexity) 2020. március 6
Ami még riasztóbb, hogy a fejlett tartós fenyegetés (APT) szereplői részt vesznek a teljes rendszerben.
Az APT-csoportok általában államok vagy állam által támogatott entitások. Köztudott, hogy rendelkeznek a technikával és a pénzügyi izommal, hogy lopva támadják meg a legszigorúbban védett vállalati informatikai hálózatokat vagy erőforrásokat.
A Microsoft csaknem egy hónappal ezelőtt fontosnak értékelte a CVE-2020-0688 biztonsági résének súlyosságát. Az RCE kiskaput azonban ma is komolyan meg kell fontolni, mivel az NSA emlékezteti a technológiai világot erre.
Érintett MS Exchange szerverek
Feltétlenül javítsa az ASAP-t a potenciális katasztrófa megelőzése érdekében, ha még mindig javítatlan, internet felé néző MS Exchange-kiszolgálót futtat. Vannak biztonsági frissítések az érintett kiszolgáló 2010-es, 2013-as, 2016-os és 2019-es verzióihoz.
A frissítések kiadásakor a Microsoft azt mondta, hogy a kérdéses biztonsági rés veszélyeztette a szerver képességét arra, hogy a telepítés során megfelelően generálja az érvényesítési kulcsokat. A támadó kihasználhatja ezt a kiskaput, és rosszindulatú kódot futtathat egy kitett rendszerben, távolról.
Az érvényesítési kulcs ismerete lehetővé teszi, hogy a postaládával rendelkező hitelesített felhasználó tetszőleges objektumokat továbbítson a SYSTEM néven futó webalkalmazás deszerializálásához.
A legtöbb kiberbiztonsági kutató úgy véli, hogy egy informatikai rendszer ilyen módon történő megsértése utat nyithat a szolgáltatásmegtagadási (DDoS) támadások előtt. A Microsoft azonban nem ismerte el, hogy ilyen jogsértésről jelentéseket kapott.
Egyelőre úgy tűnik, hogy a javítás telepítése az egyetlen lehetséges megoldás a CVE-2020-0688 kiszolgálói sebezhetőségre.
