האקרים עדיין רוצים לפרוץ שרתי פגיעות של Microsoft Exchange

הסוכנות לביטחון לאומי (NSA) הזהירה לאחרונה שחקנים זדוניים לא הפסיקו לחפש לנצל את הפגיעות CVE-2020-0688 בשרתי Microsoft Exchange.

האיום הספציפי הזה כנראה לא יהיה שום דבר לכתוב עליו עד עכשיו אם כל הארגונים עם השרתים הפגיעים היו מתוקנים כפי שהמליצה מיקרוסופט.

על פי ציוץ של NSA, האקר זקוק לאישורי דוא"ל תקפים בכדי לבצע קוד בשרת שלא הותאם מרחוק.

ביצוע קוד מרחוק #פגיעות (CVE-2020-0688) קיים ב- Microsoft Exchange Server. אם לא הותאם, תוקף עם אישורי דוא"ל יכול לבצע פקודות בשרת שלך.

הנחיית הקלה זמינה בכתובת: https://t.co/MMlBo8BsB0

- NSA / CSS (@NSAGov) 7 במרץ 2020

שחקני APT מפרים באופן פעיל שרתים לא מתוקנים

חֲדָשׁוֹת של סריקה רחבת היקף של שרתי MS Exchange שלא הותקפו עלתה ב 25 בפברואר 2020. באותה תקופה לא היה דיווח אחד על פריצת שרת מוצלחת.

אך ארגון אבטחת סייבר, Zero Day Initiative, כבר פרסם א סרטון הוכחה לקונספטהמדגים כיצד לבצע התקפה מרחוק של CVE-2020-0688.

כעת נראה כי החיפוש אחר שרתים חשופים הפונים לאינטרנט הביא פירות לייסוריהם של כמה ארגונים שנתפסו בלי משים. על פי דיווחים מרובים, כולל ציוץ של חברת אבטחת סייבר, יש ניצול פעיל של שרתי Microsoft Exchange.

ניצול פעיל של שרתי Microsoft Exchange על ידי שחקני APT באמצעות הפגיעות ECP CVE-2020-0688. למידע נוסף על ההתקפות וכיצד להגן על הארגון שלך כאן: https://t.co/fwoKvHOLaV#dfir#threatintel#infosecpic.twitter.com/2pqe07rrkg

- וולקסיטי (@ וולקסיטי) 6 במרץ 2020

מה שמבהיל עוד יותר הוא מעורבותם של שחקני איום מתמיד מתקדם (APT) בתכנית כולה.

בדרך כלל, קבוצות APT הן מדינות או גופים בחסות המדינה. ידוע שהם בעלי הטכנולוגיה והשריר הפיננסי לתקוף בחשאי כמה מרשתות ה- IT הארגוניות או המשאבים השמורים ביותר.

מיקרוסופט דירגה את חומרת הפגיעות CVE-2020-0688 כחשובה לפני כמעט חודש. עם זאת, פרצת ה- RCE עדיין חייבת להיות ראויה לשיקול רציני כיום, מכיוון שה- NSA מזכירה את עולם הטכנולוגיה בנושא.

שרתי MS Exchange מושפעים

הקפד לתקן בהקדם האפשרי כדי למנוע אסון פוטנציאלי אם אתה עדיין מפעיל שרת MS Exchange שאינו מותאם לאינטרנט. יש עדכוני אבטחה עבור גרסאות השרת המושפעות 2010, 2013, 2016 ו- 2019.

בעת שחרור העדכונים, מיקרוסופט אמרה כי הפגיעות המדוברת פגעה ביכולתו של השרת ליצור מפתחות אימות כראוי במהלך ההתקנה. תוקף יכול לנצל את הפרצה הזו ולבצע קוד זדוני במערכת חשופה, מרחוק.

היכרות עם מפתח האימות מאפשרת למשתמש מאומת עם תיבת דואר להעביר אובייקטים שרירותיים לנטרול יישום האינטרנט, הפועל כ- SYSTEM.

מרבית חוקרי אבטחת הסייבר סבורים כי הפרת מערכת IT בדרך זו עשויה לסלול את הדרך להתקפות של מניעת שירות (DDoS). מיקרוסופט לא הודתה בקבלת דיווחים על הפרה כזו.

לעת עתה נראה כי התקנת התיקון היא התרופה היחידה הזמינה לפגיעות השרת CVE-2020-0688.