Kwaadwillenden zijn niet gestopt met het uitbuiten van de CVE-2020-0688-kwetsbaarheid in op internet gerichte Microsoft Exchange-servers, waarschuwde de National Security Agency (NSA) onlangs.
Deze specifieke dreiging zou nu waarschijnlijk niet meer om over naar huis te schrijven zijn als alle organisaties met kwetsbare servers waren gepatcht zoals Microsoft had aanbevolen.
Volgens een Tweet van de NSA heeft een hacker alleen geldige e-mailgegevens nodig om code op afstand uit te voeren op een niet-gepatchte server.
Een externe code-uitvoering #kwetsbaarheid (CVE-2020-0688) bestaat in Microsoft Exchange Server. Indien niet gepatcht, kan een aanvaller met e-mailreferenties opdrachten uitvoeren op uw server.
Mitigatierichtlijnen beschikbaar op: https://t.co/MMlBo8BsB0
— NSA/CSS (@NSAGov) 7 maart 2020
APT-actoren maken actief inbreuk op ongepatchte servers
Nieuws van een grootschalige scan voor niet-gepatchte MS Exchange-servers opgedoken op 25 februari 2020. Op dat moment was er geen enkele melding van een succesvolle serverinbreuk.
Maar een cyberbeveiligingsorganisatie, Zero Day Initiative, had al een proof-of-concept video, die laat zien hoe u een CVE-2020-0688-aanval op afstand kunt uitvoeren.
Nu lijkt het erop dat de zoektocht naar blootgestelde internetgerichte servers vruchten heeft afgeworpen voor de pijn van verschillende organisaties die overrompeld werden. Volgens meerdere rapporten, waaronder een Tweet van een cyberbeveiligingsbedrijf, is er sprake van actieve exploitatie van Microsoft Exchange-servers.
Actieve exploitatie van Microsoft Exchange-servers door APT-actoren via de ECP-kwetsbaarheid CVE-2020-0688. Lees hier meer over de aanvallen en hoe u uw organisatie kunt beschermen: https://t.co/fwoKvHOLaV#dfir#threatintel#infosecpic.twitter.com/2pqe07rrkg
— Volexiteit (@Volexiteit) 6 maart 2020
Wat nog verontrustender is, is de betrokkenheid van Advanced Persistent Threat (APT)-actoren bij het hele plan.
Doorgaans zijn APT-groepen staten of door de staat gesponsorde entiteiten. Ze staan erom bekend dat ze de technische en financiële kracht hebben om heimelijk enkele van de zwaarst bewaakte IT-netwerken of -bronnen van het bedrijf aan te vallen.
Microsoft beoordeelde de ernst van de CVE-2020-0688-kwetsbaarheid bijna een maand geleden als belangrijk. De maas in de RCE moet vandaag echter nog steeds serieuze aandacht verdienen, aangezien de NSA de technische wereld eraan herinnert.
Getroffen MS Exchange-servers
Zorg ervoor dat u zo snel mogelijk een patch uitvoert om een mogelijke ramp te voorkomen als u nog steeds een niet-gepatchte, op internet gerichte MS Exchange-server gebruikt. Er zijn beveiligingsupdates voor de betrokken serverversies 2010, 2013, 2016 en 2019.
Bij het uitbrengen van de updates zei Microsoft dat de kwetsbaarheid in kwestie het vermogen van de server om validatiesleutels correct te genereren tijdens de installatie in gevaar bracht. Een aanvaller kan die maas in de wet misbruiken en op afstand kwaadaardige code uitvoeren in een blootgesteld systeem.
Kennis van een validatiesleutel stelt een geauthenticeerde gebruiker met een mailbox in staat willekeurige objecten door te geven die door de webtoepassing, die als SYSTEEM wordt uitgevoerd, gedeserialiseerd kunnen worden.
De meeste cybersecurity-onderzoekers zijn van mening dat het op deze manier doorbreken van een IT-systeem de weg kan effenen voor denial of service (DDoS)-aanvallen. Microsoft heeft echter niet erkend meldingen van een dergelijke inbreuk te hebben ontvangen.
Voorlopig lijkt het erop dat het installeren van de patch de enige beschikbare remedie is voor de CVE-2020-0688-serverkwetsbaarheid.
