Ondsinnede aktører har ikke sluttet å lete etter å utnytte sårbarheten CVE-2020-0688 på Microsoft-servere som vender seg mot internett, advarte National Security Agency (NSA) nylig.
Denne spesielle trusselen ville sannsynligvis ikke være noe å skrive hjem om nå, hadde alle organisasjoner med sårbare servere lappet slik Microsoft hadde anbefalt.
Ifølge en Tweet fra NSA trenger en hacker bare gyldig legitimasjon for e-post for å utføre kode på en server som ikke er oppdatert, eksternt.
En ekstern kjøring av kode # sårbarhet (CVE-2020-0688) finnes i Microsoft Exchange Server. Hvis ikke angitt, kan en angriper med e-postlegitimasjon utføre kommandoer på serveren din.
Begrensningsveiledning tilgjengelig på: https://t.co/MMlBo8BsB0
- NSA / CSS (@NSAGov) 7. mars 2020
APT-aktører bryter aktivt upatchede servere
Nyheter av en storstilt skanning for upatchede MS Exchange-servere dukket opp 25. februar 2020. På den tiden var det ingen eneste rapport om et vellykket serverbrudd.
Men en cybersikkerhetsorganisasjon, Zero Day Initiative, hadde allerede utgitt en
proof of concept-video, demonstrerer hvordan man kan utføre et eksternt CVE-2020-0688-angrep.Nå ser det ut som søket etter eksponerte internettvendte servere har båret frukter for smerter fra flere organisasjoner som er blitt uforvarende. I følge flere rapporter, inkludert en Tweet fra et cybersikkerhetsfirma, er det aktiv utnyttelse av Microsoft Exchange-servere.
Aktiv utnyttelse av Microsoft Exchange-servere av APT-aktører via ECP-sårbarheten CVE-2020-0688. Lær mer om angrepene og hvordan du kan beskytte organisasjonen din her: https://t.co/fwoKvHOLaV#dfir#threatintel#infosecpic.twitter.com/2pqe07rrkg
- Volexity (@Volexity) 6. mars 2020
Det som er enda mer alarmerende er involveringen av Advanced Persistent Threat (APT) -aktører i hele ordningen.
APT-grupper er vanligvis stater eller statssponserte enheter. De er kjent for å ha teknologien og den økonomiske muskelen for å snike angripe noen av de mest beskyttede bedriftens IT-nettverk eller ressurser.
Microsoft vurderte alvorlighetsgraden av CVE-2020-0688-sårbarheten som viktig for nesten en måned siden. Imidlertid må RCE-smutthullet fortsatt være verdt å vurdere i dag, siden NSA minner teknologiverden om det.
Berørte MS Exchange-servere
Sørg for å lappe ASAP for å forhindre en potensiell katastrofe hvis du fremdeles kjører en MS-server som ikke vender mot internett. Det er sikkerhetsoppdateringer for de berørte serverversjonene 2010, 2013, 2016 og 2019.
Da de lanserte oppdateringene, sa Microsoft at det aktuelle sikkerhetsproblemet kompromitterte serverens mulighet til å generere valideringsnøkler riktig under installasjonen. En angriper kan utnytte det smutthullet og utføre ondsinnet kode i et utsatt system eksternt.
Kunnskap om valideringsnøkkelen gjør at en autentisert bruker med en postkasse kan passere vilkårlige objekter som skal deserialiseres av webapplikasjonen, som kjører som SYSTEM.
De fleste cybersikkerhetsforskere mener at brudd på et IT-system på denne måten kan bane vei for DDoS-angrep. Microsoft har imidlertid ikke erkjent å ha mottatt rapporter om et slikt brudd.
For nå ser det ut til at installering av oppdateringen er det eneste tilgjengelige middelet for CVE-2020-0688-serverens sårbarhet.
