Microsoft Exchange Serverがオンラインの場合は、 パッチ まだ行っていない場合は、すぐに。 Microsoftは、現在のCVE-2020-0688の脅威に対する回避策を提案していないため、現時点では、修正プログラムのインストールが唯一の実行可能なオプションのようです。
進行中のCVE-2020-0688脆弱性の一括スキャン
匿名の研究者から学んだ後、ゼロデイイニシアチブの人々が デモ MS Exchange Serverのリモートコード実行(RCE)の脆弱性については、ユーザーを教育したかっただけです。 結局のところ、Microsoftは以前にバグに対処するためのパッチを発行していました。
しかし、ハッカーには他のアイデアがありました。 複数の報告によると、この情報がパブリックドメインに入った直後に、彼らはWeb上でパッチが適用されていないExchangeServerの大規模な検索を開始しました。
2時間前に、CVE-2020-0688(Microsoft Exchange 2007+ RCEの脆弱性)の大量スキャンが発生した可能性があるため、これは迅速でした。 pic.twitter.com/Kp3zOi5AOA
—ケビンボーモント(@GossiTheDog) 2020年2月25日
CVE-2020-0688大量スキャン活動が開始されました。 APIで「tags = CVE-2020-0688」をクエリして、スキャンを実行しているホストを見つけます。 #threatintel
—不良パケットレポート(@bad_packets) 2020年2月25日
このような悪意のある人物は、通常、サイバー脆弱性をスキャンすることはありません。 彼らの進行中の検索が何かをもたらす場合、彼らは確かにCVE-2020-0688の抜け穴を悪用しようとします。
これまでのところ、悪意のある個人によるCVE-2020-0688の悪用が成功したという報告はありません。 うまくいけば、ハッカーが十字線にサーバーを配置するまでにサーバーを保護できます。
CVE-2020-0688のバグとは何ですか?
Microsoftによると、CVE-2020-0688はRCEの脆弱性であり、ExchangeServerがインストール中に一意のキーを適切に生成できません。
検証キーの知識により、メールボックスを持つ認証されたユーザーは、SYSTEMとして実行されるWebアプリケーションによって逆シリアル化される任意のオブジェクトを渡すことができます。 セキュリティ更新プログラムは、Microsoft Exchangeがインストール中にキーを作成する方法を修正することにより、この脆弱性に対処します。
暗号化キーは、データまたはITシステムのセキュリティの中心です。 ハッカーがCVE-2020-0688エクスプロイトでそれらを解読することに成功すると、ExchangeServerを制御できるようになります。
ただし、Microsoftは、脅威の重大度を重大ではなく重要と評価しています。 おそらくこれは、攻撃者が検証キーを利用するために認証を必要とするためです。
決心したハッカーは、フィッシングなどの他の手段でセキュリティクレデンシャルを取得できる可能性があり、その後、CVE-2020-0688攻撃を快適に開始します。
すべてのサイバーセキュリティ違反が地下の隠れ家や外国に住む悪意のあるプレーヤーから発生しているわけではないことに注意してください。 脅威は、有効な認証を持つ内部アクターから発生する可能性があります。
ハッカーはかつて同様の抜け穴を利用していましたが、 PrivExchange、MS ExchangeServerの管理者権限を取得します。
