Агентство национальной безопасности (АНБ) недавно предупредило, что злоумышленники не перестают пытаться использовать уязвимость CVE-2020-0688 на серверах Microsoft Exchange с выходом в Интернет.
Об этой конкретной угрозе, вероятно, нечего было бы писать домой, если бы все организации с уязвимыми серверами были исправлены, как рекомендовала Microsoft.
Согласно твиту АНБ, хакеру нужны только действительные учетные данные электронной почты для удаленного выполнения кода на непропатченном сервере.
Удаленное выполнение кода # уязвимость (CVE-2020-0688) существует в Microsoft Exchange Server. Если не исправить, злоумышленник с учетными данными электронной почты может выполнять команды на вашем сервере.
Руководство по смягчению последствий доступно по адресу: https://t.co/MMlBo8BsB0
- АНБ / CSS (@NSAGov) 7 марта 2020 г.
Актеры APT активно взламывают непропатченные серверы
Новости крупномасштабного сканирования серверов MS Exchange без исправлений, проведенного 25 февраля 2020 года. На тот момент не было ни одного сообщения об успешном взломе сервера.
Но организация по кибербезопасности, Zero Day Initiative, уже опубликовала экспериментальное видео, демонстрируя, как выполнить удаленную атаку CVE-2020-0688.
Теперь похоже, что поиск незащищенных серверов с выходом в Интернет принес плоды агонии нескольких организаций, застигнутых врасплох. Согласно многочисленным сообщениям, включая твит фирмы по кибербезопасности, серверы Microsoft Exchange активно эксплуатируются.
Активная эксплуатация серверов Microsoft Exchange участниками APT через уязвимость ECP CVE-2020-0688. Узнайте больше об атаках и о том, как защитить свою организацию здесь: https://t.co/fwoKvHOLaV#dfir#threatintel#infosecpic.twitter.com/2pqe07rrkg
- Volexity (@Volexity) 6 марта 2020 г.
Что еще более тревожно, так это участие во всей схеме участников Advanced Persistent Threat (APT).
Как правило, группы APT - это государства или организации, спонсируемые государством. Известно, что у них есть технические и финансовые возможности, чтобы незаметно атаковать некоторые из наиболее строго охраняемых корпоративных ИТ-сетей или ресурсов.
Microsoft оценила серьезность уязвимости CVE-2020-0688 как серьезную почти месяц назад. Тем не менее, лазейка RCE все еще заслуживает серьезного рассмотрения сегодня, поскольку АНБ напоминает об этом технологическому миру.
Затронутые серверы MS Exchange
Обязательно исправьте как можно скорее, чтобы предотвратить потенциальную катастрофу, если вы все еще используете непропатченный сервер MS Exchange с выходом в Интернет. Есть обновления безопасности для затронутых версий серверов 2010, 2013, 2016 и 2019.
При выпуске обновлений Microsoft заявила, что рассматриваемая уязвимость ставит под угрозу способность сервера правильно генерировать ключи проверки во время установки. Злоумышленник может воспользоваться этой лазейкой и удаленно выполнить вредоносный код в уязвимой системе.
Знание ключа проверки позволяет аутентифицированному пользователю с почтовым ящиком передавать произвольные объекты для десериализации веб-приложением, которое работает как SYSTEM.
Большинство исследователей кибербезопасности считают, что взлом ИТ-системы таким образом может открыть путь для атак типа «отказ в обслуживании» (DDoS). Однако Microsoft не подтвердила получение сообщений о таком нарушении.
На данный момент кажется, что установка патча - единственное доступное средство от уязвимости сервера CVE-2020-0688.
