Если ваш Microsoft Exchange Server подключен к сети, вам следует пластырь это сразу, если вы еще этого не сделали. Microsoft не предложила обходной путь для текущей угрозы CVE-2020-0688, поэтому, похоже, установка исправления - ваш единственный жизнеспособный вариант на данный момент.
Выполняется массовое сканирование на предмет уязвимости CVE-2020-0688
Когда, узнав от анонимного исследователя, люди из Zero Day Initiative опубликовали демонстрация об уязвимости удаленного выполнения кода (RCE) MS Exchange Server, они просто хотели обучить пользователей. В конце концов, Microsoft ранее выпустила патч для устранения этой ошибки.
Но у хакеров были другие идеи. Согласно многочисленным отчетам, вскоре после того, как эта информация стала достоянием общественности, они начали широкомасштабный поиск непатентованных серверов Exchange в Интернете.
Это было быстро, поскольку 2 часа назад наблюдалось вероятное массовое сканирование на наличие CVE-2020-0688 (уязвимость Microsoft Exchange 2007+ RCE). pic.twitter.com/Kp3zOi5AOA
- Кевин Бомонт (@GossiTheDog) 25 февраля 2020 г.
CVE-2020-0688 массовое сканирование началось. Запросите в нашем API теги «tags = CVE-2020-0688», чтобы найти хосты, проводящие сканирование. #threatintel
- Отчет о плохих пакетах (@bad_packets) 25 февраля 2020 г.
Такие злоумышленники обычно не ищут кибер-уязвимости ради этого. Если их продолжающийся поиск что-то даст, они обязательно попытаются использовать лазейку CVE-2020-0688.
Сообщений об успешной эксплойте CVE-2020-0688 злоумышленниками пока нет. Надеюсь, вы защитите свой сервер к тому моменту, когда хакеры поставят его на место прицела.
Что такое ошибка CVE-2020-0688?
Согласно Microsoft, CVE-2020-0688 представляет собой уязвимость RCE, из-за которой Exchange Server не может правильно сгенерировать уникальные ключи во время установки.
Знание ключа проверки позволяет аутентифицированному пользователю с почтовым ящиком передавать произвольные объекты для десериализации веб-приложением, которое работает как SYSTEM. Обновление для системы безопасности устраняет уязвимость, исправляя способ создания ключей Microsoft Exchange во время установки.
Криптографические ключи лежат в основе безопасности любых данных или ИТ-системы. Когда хакерам удается расшифровать их с помощью эксплойта CVE-2020-0688, они могут получить контроль над сервером Exchange.
Однако Microsoft оценивает серьезность угрозы как серьезную, а не как критическую. Возможно, это связано с тем, что злоумышленнику все равно потребуется аутентификация для использования ключей проверки.
Решительный хакер может по-прежнему иметь возможность получить учетные данные безопасности другими способами, такими как фишинг, после чего он спокойно запустит атаку CVE-2020-0688.
Имейте в виду, что не все нарушения кибербезопасности исходят от гнусных игроков, живущих в подвальном убежище или в чужой стране. Угрозы могут исходить от внутренних субъектов с действующей аутентификацией.
Однажды хакеры воспользовались подобной лазейкой, PrivExchange, чтобы получить права администратора MS Exchange Server.
