ბოროტმოქმედმა მოქმედებებმა არ შეუწყვეტიათ CVE-2020-0688 მოწყვლადობის გამოყენება Microsoft– ის Microsoft Exchange სერვერებში. ამის შესახებ ცოტა ხნის წინ გააფრთხილა ეროვნული უსაფრთხოების სააგენტომ (NSA).
ამ კონკრეტულ საფრთხეს, ალბათ, ვერაფერს დაუწერდა სახლი, ახლა უკვე ყველა ორგანიზაცია დაუცველი სერვერით დაპატჩულიყო, როგორც ამას Microsoft ურჩევდა.
NSA- ს ტვიტის თანახმად, ჰაკერს სჭირდება მხოლოდ ელ.ფოსტის დამადასტურებელი სერთიფიკატები გაუპატიურებელ სერვერზე კოდის შესასრულებლად, დისტანციურად.
დისტანციური კოდის შესრულება # დაუცველობა (CVE-2020-0688) არსებობს Microsoft Exchange Server- ში. თუ გაუპატიურებელი იქნება, ელ.ფოსტის დამადასტურებელი დოკუმენტების მქონე შემტევს შეუძლია შეასრულოს ბრძანებები თქვენს სერვერზე.
შემსუბუქების სახელმძღვანელო მითითებულია შემდეგ მისამართზე: https://t.co/MMlBo8BsB0
- NSA / CSS (@NSAGov) 2020 წლის 7 მარტი
APT მსახიობები აქტიურად არღვევენ გაუპატიურებელ სერვერებს
ახალი ამბები დაუფარავი MS Exchange სერვერების მასშტაბური სკანირებისთვის გამოჩნდა 2020 წლის 25 თებერვალი. იმ დროს არ ყოფილა ერთი ანგარიში სერვერის წარმატებული დარღვევის შესახებ.
მაგრამ კიბერ უსაფრთხოების ორგანიზაციამ ნულოვანი დღის ინიციატივამ უკვე გამოაქვეყნა ა კონცეფციის მტკიცებულება ვიდეო, იმის დემონსტრირება, თუ როგორ უნდა შესრულდეს დისტანციური CVE-2020-0688 შეტევა.
ახლა, როგორც ჩანს, ინტერნეტ – სერვერების დაუცველი სერვერების ძიებამ ნაყოფი გამოიღო რამდენიმე უცნობი ორგანიზაციის აგონიაში. მრავალი ინფორმაციის თანახმად, კიბერ უსაფრთხოების ფირმის ტვიტის ჩათვლით, Microsoft Exchange სერვერების აქტიური ექსპლუატაციაა.
Microsoft Exchange სერვერების აქტიური ექსპლუატაცია APT მსახიობების მიერ ECP მოწყვლადობის CVE-2020-0688 მეშვეობით. შეიტყვეთ მეტი თავდასხმების და თქვენი ორგანიზაციის დაცვის შესახებ აქ: https://t.co/fwoKvHOLaV# დფირი# საშიშროება# ინფოსეკიpic.twitter.com/2pqe07rrkg
- Volexity (@ Volexity) 2020 წლის 6 მარტი
რაც კიდევ უფრო საგანგაშოა არის Advanced Persistent Threat (APT) მსახიობების მონაწილეობა მთლიან სქემაში.
როგორც წესი, APT ჯგუფები არის სახელმწიფოები ან სახელმწიფოს მიერ დაფინანსებული სუბიექტები. როგორც ცნობილია, მათ გააჩნიათ ტექნიკური და ფინანსური შესაძლებლობები, რომ იპარავენ თავზე მკაცრად დაცულ კორპორატიულ IT ქსელებსა და რესურსებს.
Microsoft– მა შეაფასა CVE-2020-0688 მოწყვლადობის სიმძიმე, როგორც მნიშვნელოვანი თითქმის ერთი თვის წინ. ამასთან, RCE ხარვეზმა დღესაც სერიოზულად უნდა განიხილოს, რადგან NSA ახსენებს ტექნიკურ სამყაროს ამის შესახებ.
დაზარალებული MS Exchange სერვერები
დარწმუნდით, რომ დააჭირეთ ASAP- ს, რომ თავიდან აიცილოთ პოტენციური კატასტროფა, თუ ჯერ კიდევ იყენებთ გაუთავებელ ინტერნეტ – სერვისის MS Exchange სერვერს. Არიან, იმყოფებიან უსაფრთხოების განახლებები დაზარალებული სერვერის ვერსიებისთვის 2010, 2013, 2016 და 2019.
განახლებების გამოცემისას Microsoft- მა თქვა, რომ მოცემულმა დაუცველობამ დაარღვია სერვერის ინსტალაციის დროს ვალიდაციის გასაღებების სწორად გამომუშავების შესაძლებლობა. თავდამსხმელს შეეძლო გამოეყენებინა ეს ხვრელი და გამოეყენებინა მავნე კოდი დისტანციურად.
ვალიდაციის გასაღების ცოდნა საშუალებას აძლევს ავტორიზებულ მომხმარებელს საფოსტო ყუთის საშუალებით გაიაროს თვითნებური ობიექტები, რომლებიც განიდევნება ვებ – პროგრამის მიერ, რომელიც მუშაობს როგორც SYSTEM.
კიბერ უსაფრთხოების მკვლევარების უმეტესობას მიაჩნია, რომ ამ გზით IT სისტემის დარღვევამ შეიძლება გაუქმოს მომსახურების უარყოფა (DDoS) თავდასხმები. Microsoft– მა არ დაადასტურა ასეთი დარღვევის შესახებ შეტყობინებების მიღება.
ახლა, როგორც ჩანს, პატჩის დაყენება ერთადერთი საშუალებაა CVE-2020-0688 სერვერის დაუცველობისთვის.
