Ļaunprātīgi dalībnieki nav pārstājuši izmantot CVE-2020-0688 ievainojamību Microsoft saskatāmos serveros, kas vērsti uz internetu, nesen brīdināja Nacionālās drošības aģentūra (NSA).
Šie konkrētie draudi, iespējams, nebūs nekas, par ko rakstīt mājās, jo visas organizācijas ar neaizsargātiem serveriem ir ielāpītas, kā to ieteica Microsoft.
Saskaņā ar NSA čivināt, hakerim ir nepieciešami tikai derīgi e-pasta akreditācijas dati, lai attālināti izpildītu kodu nepieņemtā serverī.
Attālā koda izpilde # neaizsargātība (CVE-2020-0688) pastāv Microsoft Exchange Server. Ja tas nav atiestatīts, uzbrucējs ar e-pasta akreditācijas datiem var izpildīt komandas jūsu serverī.
Norādījumi par seku mazināšanu ir pieejami vietnē: https://t.co/MMlBo8BsB0
- NSA / CSS (@NSAGov) 2020. gada 7. marts
APT dalībnieki aktīvi pārkāpj nenoslēgtus serverus
Jaunumi plaša mēroga nenosūtītu MS Exchange serveru skenēšana parādījās 2020. gada 25. februārī. Tajā laikā nebija neviena ziņojuma par veiksmīgu servera pārkāpumu.
Bet kiberdrošības organizācija Zero Day Initiative jau bija publicējusi a
koncepcijas pierādījums video, parādot, kā izpildīt attālo CVE-2020-0688 uzbrukumu.Tagad izskatās, ka atklātu, uz internetu vērstu serveru meklēšana ir devusi augļus vairāku neparedzēti pieķertu organizāciju mokām. Saskaņā ar vairākiem ziņojumiem, tostarp kiberdrošības firmas čivināt, tiek aktīvi izmantoti Microsoft Exchange serveri.
APT dalībnieki aktīvi izmanto Microsoft Exchange serverus, izmantojot ECP ievainojamību CVE-2020-0688. Uzziniet vairāk par uzbrukumiem un to, kā aizsargāt savu organizāciju šeit: https://t.co/fwoKvHOLaV#dfir#threatintel#infosecpic.twitter.com/2pqe07rrkg
- Volexity (@Volexity) 2020. gada 6. marts
Vēl satraucošāk ir progresējošu pastāvīgu draudu (APT) dalībnieku iesaistīšanās visā shēmā.
Parasti APT grupas ir valstis vai valsts atbalstītas struktūras. Ir zināms, ka viņiem ir tehnoloģija un finanšu spēks, lai slepeni uzbruktu dažiem no visvairāk sargātajiem korporatīvajiem IT tīkliem vai resursiem.
Microsoft gandrīz pirms mēneša novērtēja CVE-2020-0688 ievainojamības smagumu kā svarīgu. Tomēr RCE nepilnībai arī šodien ir nopietni jāapsver, redzot, ka NSA par to atgādina tehnoloģiju pasaulei.
Ietekmētie MS Exchange serveri
Pārliecinieties, ka plāksteris ASAP, lai novērstu iespējamo katastrofu, ja jūs joprojām izmantojat nenosūtītu ar internetu vērstu MS Exchange serveri. Tur ir drošības atjauninājumi ietekmētajām serveru versijām 2010, 2013, 2016 un 2019.
Atbrīvojot atjauninājumus, Microsoft paziņoja, ka attiecīgā ievainojamība apdraudēja servera spēju pareizi ģenerēt validācijas atslēgas instalēšanas laikā. Uzbrucējs varēja izmantot šo nepilnību un attālināti izpildīt kaitīgo kodu pakļautajā sistēmā.
Zināšanas par validācijas atslēgu ļauj autentificētam lietotājam ar pastkasti nodot patvaļīgus objektus, kurus deserializēt tīmekļa lietojumprogrammā, kas darbojas kā SYSTEM.
Lielākā daļa kiberdrošības pētnieku uzskata, ka IT sistēmas pārkāpšana šādā veidā var pavērt ceļu pakalpojumu atteikšanas (DDoS) uzbrukumiem. Tomēr Microsoft nav atzinusi, ka saņēmusi ziņojumus par šādu pārkāpumu.
Pašlaik šķiet, ka plākstera instalēšana ir vienīgais pieejamais līdzeklis pret servera ievainojamību CVE-2020-0688.
