脆弱なMicrosoftExchangeサーバーを侵害しようとしているハッカー

悪意のある攻撃者は、インターネットに直接接続されたMicrosoft ExchangeサーバーのCVE-2020-0688の脆弱性を悪用しようとしていることを止めていないと、国家安全保障局（NSA）は最近警告しました。

この特定の脅威は、Microsoftが推奨したように、脆弱なサーバーを使用しているすべての組織にパッチが適用されていれば、おそらく何の意味もありません。

NSAによるツイートによると、ハッカーはパッチが適用されていないサーバーでリモートでコードを実行するために有効な電子メールクレデンシャルのみを必要とします。

リモートコード実行 #vulnerability （CVE-2020-0688）はMicrosoft ExchangeServerに存在します。 パッチが適用されていない場合、電子メールのクレデンシャルを持つ攻撃者はサーバー上でコマンドを実行できます。

緩和ガイダンスは次の場所で入手できます。 https://t.co/MMlBo8BsB0

— NSA / CSS（@NSAGov） 2020年3月7日

APTアクターは、パッチが適用されていないサーバーを積極的に侵害しています

ニュース 2020年2月25日に表面化したパッチが適用されていないMSExchangeサーバーの大規模スキャンの結果。 当時、サーバー侵害が成功したという報告は1件もありませんでした。

しかし、サイバーセキュリティ組織であるZero Day Initiativeは、すでに 概念実証ビデオ、リモートCVE-2020-0688攻撃を実行する方法を示します。

今では、公開されたインターネットに直接接続されたサーバーの検索が、気づかずに捕らえられたいくつかの組織の苦痛に実を結んだように見えます。 サイバーセキュリティ会社によるツイートを含む複数の報告によると、MicrosoftExchangeサーバーの積極的な悪用があります。

ECP脆弱性CVE-2020-0688を介したAPTアクターによるMicrosoftExchangeサーバーの積極的な悪用。 攻撃の詳細と組織を保護する方法については、こちらをご覧ください。 https://t.co/fwoKvHOLaV#dfir#threatintel#infosecpic.twitter.com/2pqe07rrkg

— Volexity（@Volexity） 2020年3月6日

さらに憂慮すべきは、スキーム全体にAdvanced Persistent Threat（APT）アクターが関与していることです。

通常、APTグループは州または州が後援するエンティティです。 彼らは、最も厳重に保護された企業のITネットワークまたはリソースのいくつかを密かに攻撃する技術と資金力を持っていることで知られています。

マイクロソフトは、ほぼ1か月前に、CVE-2020-0688の脆弱性の重大度を重要であると評価しました。 ただし、RCEの抜け穴は、NS​​Aがテクノロジーの世界にそれを思い出させていることを考えると、今日でも真剣に検討する価値があります。

影響を受けるMSExchangeサーバー

パッチが適用されていないインターネットに接続されたMSExchangeサーバーをまだ実行している場合は、潜在的な災害を未然に防ぐために、できるだけ早くパッチを適用してください。 がある セキュリティアップデート 影響を受けるサーバーバージョン2010、2013、2016、および2019の場合。

Microsoftは、更新プログラムをリリースする際に、問題の脆弱性により、インストール中に検証キーを適切に生成するサーバーの機能が損なわれると述べました。 攻撃者はその抜け穴を悪用し、公開されたシステムで悪意のあるコードをリモートで実行する可能性があります。

検証キーの知識により、メールボックスを持つ認証されたユーザーは、SYSTEMとして実行されるWebアプリケーションによって逆シリアル化される任意のオブジェクトを渡すことができます。

ほとんどのサイバーセキュリティ研究者は、この方法でITシステムに侵入すると、サービス拒否（DDoS）攻撃への道が開かれる可能性があると考えています。 ただし、Microsoftはそのような違反の報告を受け取ったことを認めていません。

今のところ、パッチのインストールがCVE-2020-0688サーバーの脆弱性に対する唯一の利用可能な救済策であるようです。