Gli attori malintenzionati non hanno smesso di cercare di sfruttare la vulnerabilità CVE-2020-0688 nei server Microsoft Exchange con connessione a Internet, ha avvertito di recente la National Security Agency (NSA).
Questa particolare minaccia probabilmente non sarebbe nulla di cui scrivere a casa, ormai, se tutte le organizzazioni con server vulnerabili avessero patchato come consigliato da Microsoft.
Secondo un Tweet della NSA, un hacker ha bisogno solo di credenziali di posta elettronica valide per eseguire il codice su un server senza patch, in remoto.
Un'esecuzione di codice a distanza #vulnerabilità (CVE-2020-0688) esiste in Microsoft Exchange Server. Se senza patch, un utente malintenzionato con credenziali di posta elettronica può eseguire comandi sul tuo server.
Guida alla mitigazione disponibile su: https://t.co/MMlBo8BsB0
— NSA/CSS (@NSAGov) 7 marzo 2020
Gli attori di APT stanno violando attivamente i server senza patch
notizia di una scansione su larga scala per server MS Exchange senza patch è emersa il 25 febbraio 2020. A quel tempo, non c'era una singola segnalazione di una violazione del server riuscita.
Ma un'organizzazione di sicurezza informatica, Zero Day Initiative, aveva già pubblicato un video dimostrativo, dimostrando come eseguire un attacco CVE-2020-0688 remoto.
Ora sembra che la ricerca di server esposti a Internet abbia portato i suoi frutti all'agonia di diverse organizzazioni colte alla sprovvista. Secondo diversi rapporti, incluso un Tweet di una società di sicurezza informatica, esiste uno sfruttamento attivo dei server Microsoft Exchange.
Sfruttamento attivo dei server Microsoft Exchange da parte di attori APT tramite la vulnerabilità ECP CVE-2020-0688. Scopri di più sugli attacchi e su come proteggere la tua organizzazione qui: https://t.co/fwoKvHOLaV#dfir#threatintel#infosecpic.twitter.com/2pqe07rrkg
— Volexity (@Volexity) 6 marzo 2020
Ciò che è ancora più allarmante è il coinvolgimento degli attori dell'Advanced Persistent Threat (APT) nell'intero schema.
In genere, i gruppi APT sono stati o entità sponsorizzate dallo stato. Sono noti per avere la tecnologia e la forza finanziaria per attaccare furtivamente alcune delle reti o risorse IT aziendali più fortemente sorvegliate.
Microsoft ha valutato la gravità della vulnerabilità CVE-2020-0688 come importante quasi un mese fa. Tuttavia, la scappatoia RCE deve ancora meritare una seria considerazione oggi, visto che la NSA lo sta ricordando al mondo della tecnologia.
Server MS Exchange interessati
Assicurati di applicare la patch al più presto per prevenire un potenziale disastro se stai ancora utilizzando un server MS Exchange con connessione a Internet senza patch. Ci sono aggiornamenti di sicurezza per le versioni server interessate 2010, 2013, 2016 e 2019.
Nel rilasciare gli aggiornamenti, Microsoft ha affermato che la vulnerabilità in questione ha compromesso la capacità del server di generare correttamente le chiavi di convalida durante l'installazione. Un utente malintenzionato potrebbe sfruttare questa scappatoia ed eseguire codice dannoso in un sistema esposto, in remoto.
La conoscenza di una chiave di convalida consente a un utente autenticato con una casella di posta di passare oggetti arbitrari da deserializzare dall'applicazione Web, che viene eseguita come SISTEMA.
La maggior parte dei ricercatori sulla sicurezza informatica ritiene che violare un sistema IT in questo modo possa aprire la strada ad attacchi di negazione del servizio (DDoS). Tuttavia, Microsoft non ha riconosciuto di aver ricevuto segnalazioni di tale violazione.
Per ora, sembra che l'installazione della patch sia l'unico rimedio disponibile per la vulnerabilità del server CVE-2020-0688.
