Jeśli Twój serwer Microsoft Exchange jest w trybie online, dobrze zrobisz, aby łata od razu, jeśli jeszcze tego nie zrobiłeś. Firma Microsoft nie zaproponowała obejścia obecnego zagrożenia CVE-2020-0688, więc wydaje się, że zainstalowanie poprawki jest na razie jedyną realną opcją.
Trwa masowe skanowanie pod kątem luki CVE-2020-0688
Kiedy, po uczeniu się od anonimowego badacza, ludzie z Inicjatywy Zero Day opublikowali: próbny luki w zabezpieczeniach programu MS Exchange Server umożliwiającej zdalne wykonanie kodu (RCE), chcieli jedynie edukować użytkowników. W końcu Microsoft wydał wcześniej łatkę naprawiającą ten błąd.
Ale hakerzy mieli inne pomysły. Jak wynika z wielu raportów, wkrótce po tym, jak te informacje znalazły się w domenie publicznej, rozpoczęli na dużą skalę wyszukiwanie w sieci niezałatanych serwerów Exchange.
To było szybkie, ponieważ 2 godziny temu widziałem prawdopodobnie masowe skanowanie w poszukiwaniu CVE-2020-0688 (podatność Microsoft Exchange 2007+ RCE). pic.twitter.com/Kp3zOi5AOA
— Kevin Beaumont (@GossiTheDog) 25 lutego 2020 r.
CVE-2020-0688 rozpoczęło masowe skanowanie. Zapytaj nasz interfejs API o „tags=CVE-2020-0688”, aby zlokalizować hosty przeprowadzające skanowanie. #zagrożenie
— Raport o złych pakietach (@bad_packets) 25 lutego 2020 r.
Tacy źli aktorzy zwykle nie skanują w celu znalezienia luk w cyberprzestrzeni. Jeśli ich ciągłe poszukiwania coś przyniosą, z pewnością spróbują wykorzystać lukę CVE-2020-0688.
Jak dotąd nie ma doniesień o udanym wykorzystaniu luki CVE-2020-0688 przez osoby o złych intencjach. Mamy nadzieję, że zabezpieczysz swój serwer, zanim hakerzy będą mieli go na celowniku.
Co to jest błąd CVE-2020-0688?
Według Microsoft, CVE-2020-0688 to luka RCE, w której Exchange Server nie generuje poprawnie unikalnych kluczy podczas instalacji.
Znajomość klucza walidacji umożliwia uwierzytelnionemu użytkownikowi ze skrzynką pocztową przekazywanie dowolnych obiektów do deserializacji przez aplikację internetową działającą jako SYSTEM. Aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach, poprawiając sposób, w jaki program Microsoft Exchange tworzy klucze podczas instalacji.
Klucze kryptograficzne są sercem bezpieczeństwa dowolnych danych lub systemu informatycznego. Gdy hakerom uda się je rozszyfrować za pomocą exploita CVE-2020-0688, mogą przejąć kontrolę nad serwerem Exchange.
Microsoft ocenia jednak powagę zagrożenia jako ważną, a nie krytyczną. Być może dzieje się tak dlatego, że atakujący nadal wymagałby uwierzytelnienia, aby wykorzystać klucze walidacji.
Zdeterminowany haker może nadal być w stanie uzyskać dane uwierzytelniające za pomocą innych środków, takich jak phishing, po czym bez problemu przeprowadzi atak CVE-2020-0688.
Pamiętaj, że nie wszystkie naruszenia cyberbezpieczeństwa pochodzą od nikczemnych graczy mieszkających w kryjówce w piwnicy lub w obcym kraju. Zagrożenia mogą pochodzić od wewnętrznych aktorów z ważnym uwierzytelnieniem.
Hakerzy wykorzystali kiedyś podobną lukę, PrivExchange, aby uzyskać uprawnienia administratora MS Exchange Server.
