Kenkėjiški veikėjai nenustojo ieškoti CVE-2020-0688 pažeidžiamumo, susijusio su „Microsoft Exchange“ serveriais, nukreiptais į internetą, neseniai įspėjo Nacionalinė saugumo agentūra (NSA).
Dėl šios grėsmės tikriausiai nebus nieko rašyti namo, nes visos organizacijos su pažeidžiamais serveriais buvo pataisytos, kaip rekomendavo „Microsoft“.
Remiantis NSA „Twitter“ pranešimu, įsilaužėliui reikalingi galiojantys el. Pašto duomenys tik norint nuotoliniu būdu vykdyti kodą nepašalintame serveryje.
Nuotolinis kodo vykdymas # pažeidžiamumas (CVE-2020-0688) yra „Microsoft Exchange Server“. Jei nepašalintas, užpuolikas, turintis el. Pašto kredencialus, gali vykdyti komandas jūsų serveryje.
Sušvelninimo rekomendacijos pateikiamos: https://t.co/MMlBo8BsB0
- NSA / CSS (@NSAGov) 2020 m. Kovo 7 d
APT veikėjai aktyviai pažeidžia nepriestus serverius
žinios plataus masto nepašalintų „MS Exchange“ serverių nuskaitymas pasirodė 2020 m. vasario 25 d. Tuo metu nebuvo vieno pranešimo apie sėkmingą serverio pažeidimą.
Tačiau kibernetinio saugumo organizacija „Zero Day Initiative“ jau paskelbė a vaizdo įrašas, įrodantis koncepciją, parodantis, kaip įvykdyti nuotolinę CVE-2020-0688 ataką.
Dabar atrodo, kad atvirų interneto serverių paieška davė vaisių kelių netikėtai užkluptų organizacijų kančiai. Remiantis daugeliu pranešimų, įskaitant kibernetinio saugumo firmos „Tweet“, aktyviai naudojami „Microsoft Exchange“ serveriai.
APT dalyviai aktyviai naudoja „Microsoft Exchange“ serverius per ECP pažeidžiamumą CVE-2020-0688. Sužinokite daugiau apie atakas ir kaip apsaugoti savo organizaciją čia: https://t.co/fwoKvHOLaV#dfir#threatintel#infosecpic.twitter.com/2pqe07rrkg
- „Volexity“ (@Volexity) 2020 m. Kovo 6 d
Dar nerimą kelia pažangių nuolatinių grėsmių (APT) dalyvių įtraukimas į visą schemą.
Paprastai APT grupės yra valstybės arba valstybės remiami subjektai. Žinoma, kad jie turi techninių ir finansinių galimybių, kad galėtų slapta užpulti kai kuriuos labiausiai saugomus korporatyvinius IT tinklus ar išteklius.
„Microsoft“ beveik prieš mėnesį svarbiu įvertino pažeidžiamumo CVE-2020-0688 sunkumą. Tačiau RCE spraga ir šiandien turi būti rimtai apsvarstyta, nes NSA apie tai primena technologijų pasauliui.
Paveikti „MS Exchange“ serveriai
Būtinai užtaisykite ASAP, kad išvengtumėte galimos nelaimės, jei vis dar naudojate nepašalintą „Internet Exchange“ serverį. Yra saugos naujinimai paveiktoms serverio versijoms 2010, 2013, 2016 ir 2019.
Išleisdama naujinimus, „Microsoft“ teigė, kad aptariamas pažeidžiamumas pažeidė serverio galimybę tinkamai sugeneruoti patvirtinimo raktus diegimo metu. Užpuolikas galėjo pasinaudoti ta spraga ir nuotoliniu būdu vykdyti kenksmingą kodą veikiamoje sistemoje.
Patvirtinimo rakto žinojimas leidžia autentifikuotam vartotojui su pašto dėžute perduoti savavališkus objektus, kuriuos deserializuoja žiniatinklio programa, veikianti kaip SISTEMA.
Dauguma kibernetinio saugumo tyrėjų mano, kad tokiu būdu pažeidus IT sistemą, gali būti sudarytos sąlygos atakoms už paslaugų atsisakymą (DDoS). Vis dėlto „Microsoft“ nepripažino gavusių pranešimus apie tokį pažeidimą.
Kol kas atrodo, kad pleistro įdiegimas yra vienintelė prieinama priemonė, padedanti apsaugoti CVE-2020-0688 serverio pažeidžiamumą.
![5 geriausia nemokama „anti-keylogger“ programinė įranga jūsų „Windows“ kompiuteriui [2020 m. Sąrašas]](/f/1cddb65c49a80918c73c8c55a7b5f11a.jpg?width=300&height=460)