Se il tuo Microsoft Exchange Server è online, fai bene a patch subito, se non l'hai già fatto. Microsoft non ha proposto una soluzione alternativa per l'attuale minaccia CVE-2020-0688, quindi sembra che l'installazione della correzione sia l'unica opzione praticabile per ora.
Scansione di massa per la vulnerabilità CVE-2020-0688 in corso
Quando, dopo aver appreso da un ricercatore anonimo, i ragazzi di Zero Day Initiative hanno pubblicato un demo della vulnerabilità dell'esecuzione di codice remoto (RCE) di MS Exchange Server, volevano solo educare gli utenti. Dopotutto, Microsoft aveva precedentemente rilasciato una patch per risolvere il bug.
Ma gli hacker avevano altre idee. Poco dopo che queste informazioni sono diventate di pubblico dominio, hanno dato il via a una ricerca su larga scala di server Exchange senza patch sul web, secondo diversi rapporti.
È stato rapido, poiché 2 ore fa è stata rilevata una probabile scansione di massa per CVE-2020-0688 (vulnerabilità RCE di Microsoft Exchange 2007+). pic.twitter.com/Kp3zOi5AOA
— Kevin Beaumont (@GossiTheDog) 25 febbraio 2020
È iniziata l'attività di scansione di massa CVE-2020-0688. Interroga la nostra API per "tags=CVE-2020-0688" per individuare gli host che conducono le scansioni. #threatintel
— Rapporto sui pacchetti non validi (@bad_packets) 25 febbraio 2020
Tali cattivi attori di solito non eseguono la scansione delle vulnerabilità informatiche per il gusto di farlo. Se la loro ricerca in corso produce qualcosa, cercheranno sicuramente di sfruttare la scappatoia CVE-2020-0688.
Finora non ci sono segnalazioni di un exploit CVE-2020-0688 di successo da parte di individui malintenzionati. Si spera che avrai protetto il tuo server nel momento in cui gli hacker lo avranno nel mirino.
Che cos'è il bug CVE-2020-0688?
Secondo Microsoft, CVE-2020-0688 è una vulnerabilità RCE in cui Exchange Server non riesce a generare correttamente chiavi univoche durante l'installazione.
La conoscenza della chiave di convalida consente a un utente autenticato con una casella di posta di passare oggetti arbitrari da deserializzare dall'applicazione Web, che viene eseguita come SISTEMA. L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui Microsoft Exchange crea le chiavi durante l'installazione.
Le chiavi crittografiche sono al centro della sicurezza di qualsiasi dato o sistema informatico. Quando gli hacker riescono a decifrarli in un exploit CVE-2020-0688, possono assumere il controllo di Exchange Server.
Tuttavia, Microsoft valuta la gravità della minaccia come importante piuttosto che critica. Forse questo è dovuto al fatto che un utente malintenzionato richiederebbe comunque l'autenticazione per utilizzare le chiavi di convalida.
Un hacker determinato potrebbe ancora essere in grado di ottenere credenziali di sicurezza con altri mezzi, come il phishing, dopodiché lancerebbe comodamente un attacco CVE-2020-0688.
Tieni presente che non tutte le violazioni della sicurezza informatica provengono da giocatori malvagi che vivono in un nascondiglio nel seminterrato o in un paese straniero. Le minacce possono provenire da attori interni con autenticazione valida.
Gli hacker una volta hanno approfittato di una scappatoia simile, Scambio Privato, per ottenere i diritti di amministratore di MS Exchange Server.
