Aktor jahat tidak berhenti mencari untuk mengeksploitasi kerentanan CVE-2020-0688 di server Microsoft Exchange yang menghadap internet, Badan Keamanan Nasional (NSA) memperingatkan baru-baru ini.
Ancaman khusus ini mungkin bukan apa-apa untuk ditulis di rumah sekarang jika semua organisasi dengan server rentan ditambal seperti yang direkomendasikan Microsoft.
Menurut Tweet oleh NSA, seorang peretas hanya membutuhkan kredensial email yang valid untuk mengeksekusi kode pada server yang belum ditambal, dari jarak jauh.
Eksekusi kode jarak jauh #kerentanan (CVE-2020-0688) ada di Microsoft Exchange Server. Jika tidak ditambal, penyerang dengan kredensial email dapat menjalankan perintah di server Anda.
Panduan Mitigasi tersedia di: https://t.co/MMlBo8BsB0
— NSA/CSS (@NSAGov) 7 Maret 2020
Aktor APT secara aktif melanggar server yang belum ditambal
Berita pemindaian skala besar untuk server MS Exchange yang belum ditambal muncul pada 25 Februari 2020. Pada saat itu, tidak ada satu pun laporan tentang pelanggaran server yang berhasil.
Tetapi sebuah organisasi keamanan siber, Zero Day Initiative, telah menerbitkan sebuah video bukti konsep, mendemonstrasikan cara mengeksekusi serangan CVE-2020-0688 jarak jauh.
Sekarang sepertinya pencarian untuk server yang menghadap ke internet telah membuahkan hasil dari penderitaan beberapa organisasi yang tidak sadar. Menurut beberapa laporan, termasuk Tweet oleh perusahaan keamanan siber, ada eksploitasi aktif server Microsoft Exchange.
Eksploitasi aktif server Microsoft Exchange oleh aktor APT melalui kerentanan ECP CVE-2020-0688. Pelajari lebih lanjut tentang serangan dan cara melindungi organisasi Anda di sini: https://t.co/fwoKvHOLaV#dfir#mengancam#infosecpic.twitter.com/2pqe07rrkg
— Voleksitas (@Voleksitas) 6 Maret 2020
Yang lebih mengkhawatirkan adalah keterlibatan aktor Advanced Persistent Threat (APT) dalam keseluruhan skema.
Biasanya, grup APT adalah negara bagian atau entitas yang disponsori negara bagian. Mereka diketahui memiliki teknologi dan kekuatan finansial untuk secara diam-diam menyerang beberapa jaringan atau sumber daya TI perusahaan yang dijaga ketat.
Microsoft menilai tingkat keparahan kerentanan CVE-2020-0688 sebagai hal yang penting hampir sebulan yang lalu. Namun, celah RCE masih harus mendapat pertimbangan serius hari ini, mengingat NSA mengingatkan dunia teknologi tentang hal itu.
Server MS Exchange yang terpengaruh
Pastikan untuk menambal ASAP untuk mencegah potensi bencana jika Anda masih menjalankan server MS Exchange yang menghadap internet yang belum ditambal. Ada pembaruan keamanan untuk versi server yang terpengaruh 2010, 2013, 2016, dan 2019.
Saat merilis pembaruan, Microsoft mengatakan bahwa kerentanan tersebut membahayakan kemampuan server untuk menghasilkan kunci validasi dengan benar selama instalasi. Seorang penyerang dapat mengeksploitasi celah itu dan mengeksekusi kode berbahaya dalam sistem yang terbuka, dari jarak jauh.
Pengetahuan tentang kunci validasi memungkinkan pengguna yang diautentikasi dengan kotak surat untuk melewatkan objek arbitrer untuk dideserialisasi oleh aplikasi web, yang berjalan sebagai SISTEM.
Sebagian besar peneliti keamanan siber percaya bahwa melanggar sistem TI dengan cara ini dapat membuka jalan bagi serangan penolakan layanan (DDoS). Microsoft belum mengakui menerima laporan pelanggaran semacam itu.
Untuk saat ini, tampaknya menginstal tambalan adalah satu-satunya solusi yang tersedia untuk kerentanan server CVE-2020-0688.
