Złośliwi aktorzy nie przestali próbować wykorzystać luki CVE-2020-0688 w serwerach Microsoft Exchange, które mają dostęp do Internetu, ostrzegła niedawno Narodowa Agencja Bezpieczeństwa (NSA).
To szczególne zagrożenie prawdopodobnie nie byłoby niczym, o czym można by pisać, gdyby wszystkie organizacje z podatnymi serwerami zostały załatane zgodnie z zaleceniami Microsoft.
Według Tweeta NSA, haker potrzebuje tylko ważnych danych uwierzytelniających e-mail, aby zdalnie wykonać kod na niezałatanym serwerze.
Zdalne wykonanie kodu #słaby punkt (CVE-2020-0688) istnieje w Microsoft Exchange Server. Jeśli nie zostanie załatany, osoba atakująca z poświadczeniami poczty e-mail może wykonywać polecenia na Twoim serwerze.
Wytyczne dotyczące łagodzenia skutków dostępne pod adresem: https://t.co/MMlBo8BsB0
— NSA/CSS (@NSAGov) 7 marca 2020 r.
Aktorzy APT aktywnie włamują się na niezałatane serwery
Aktualności wielkoskalowego skanowania w poszukiwaniu niezałatanych serwerów MS Exchange, które pojawiło się 25 lutego 2020 r. W tamtym czasie nie było ani jednego zgłoszenia o udanym naruszeniu serwera.
Ale organizacja ds. cyberbezpieczeństwa, Zero Day Initiative, opublikowała już wideo weryfikujące koncepcję, pokazując, jak przeprowadzić zdalny atak CVE-2020-0688.
Teraz wygląda na to, że poszukiwanie odsłoniętych serwerów z dostępem do Internetu przyniosło owoce w agonii kilku organizacji przyłapanych na nieświadomości. Według wielu raportów, w tym tweeta firmy zajmującej się cyberbezpieczeństwem, aktywnie wykorzystuje się serwery Microsoft Exchange.
Aktywne wykorzystywanie serwerów Microsoft Exchange przez aktorów APT za pośrednictwem luki ECP CVE-2020-0688. Dowiedz się więcej o atakach i sposobach ochrony organizacji tutaj: https://t.co/fwoKvHOLaV#dfir#zagrożenie#infosecpic.twitter.com/2pqe07rrkg
— Wstrętność (@wstrętność) 6 marca 2020 r.
Jeszcze bardziej niepokojący jest udział w całym schemacie aktorów Advanced Persistent Threat (APT).
Zazwyczaj grupy APT to stany lub jednostki sponsorowane przez państwo. Wiadomo, że dysponują technologią i siłą finansową, aby potajemnie zaatakować niektóre z najbardziej strzeżonych korporacyjnych sieci lub zasobów IT.
Prawie miesiąc temu firma Microsoft oceniła wagę luki CVE-2020-0688 jako ważną. Jednak luka RCE musi dziś nadal zasługiwać na poważne rozważenie, ponieważ NSA przypomina o tym światu technologicznemu.
Zaatakowane serwery MS Exchange
Pamiętaj, aby załatać jak najszybciej, aby zapobiec potencjalnej katastrofie, jeśli nadal korzystasz z niezałatanego serwera MS Exchange z dostępem do Internetu. Tam są aktualizacje bezpieczeństwa dla wersji serwerów, których dotyczy problem, 2010, 2013, 2016 i 2019.
Podczas publikowania aktualizacji Microsoft powiedział, że omawiana luka ogranicza zdolność serwera do prawidłowego generowania kluczy weryfikacyjnych podczas instalacji. Osoba atakująca może wykorzystać tę lukę i zdalnie wykonać złośliwy kod w ujawnionym systemie.
Znajomość klucza walidacji umożliwia uwierzytelnionemu użytkownikowi ze skrzynką pocztową przekazywanie dowolnych obiektów do deserializacji przez aplikację internetową działającą jako SYSTEM.
Większość badaczy cyberbezpieczeństwa uważa, że włamanie w ten sposób do systemu informatycznego może utorować drogę do ataków typu „odmowa usługi” (DDoS). Microsoft nie potwierdził jednak otrzymywania zgłoszeń o takim naruszeniu.
Na razie wygląda na to, że zainstalowanie poprawki jest jedynym dostępnym lekarstwem na lukę serwera CVE-2020-0688.
