Zlomyseľní aktéri neprestali hľadať zneužitie zraniteľnosti CVE-2020-0688 na serveroch Microsoft Exchange orientovaných na internet, varovala nedávno Národná bezpečnostná agentúra (NSA).
O tejto konkrétnej hrozbe by teraz pravdepodobne nebolo nič, o čom by sa dalo písať, keby boli všetky organizácie so zraniteľnými servermi opravené podľa odporúčaní spoločnosti Microsoft.
Podľa tweetu NSA hackerovi stačia na vykonanie kódu na neopravenom serveri na diaľku iba platné e-mailové poverenia.
Vzdialené spustenie kódu # zraniteľnosť (CVE-2020-0688) existuje na serveri Microsoft Exchange Server. Ak nie je opravený, útočník s e-mailovými povereniami môže vykonávať príkazy na vašom serveri.
Sprievodca zmierňovaním rizika je k dispozícii na adrese: https://t.co/MMlBo8BsB0
- NSA / CSS (@NSAGov) 7. marca 2020
Aktéri APT aktívne porušujú neopravené servery
Novinky rozsiahleho skenovania neopravených serverov MS Exchange sa objavilo 25. februára 2020. V tom čase neexistovala jediná správa o úspešnom porušení servera.
Organizácia pre kybernetickú bezpečnosť, Zero Day Initiative, už však zverejnila a video na overenie koncepcie, ktorý ukazuje, ako vykonať vzdialený útok CVE-2020-0688.
Teraz to vyzerá, že hľadanie odhalených serverov orientovaných na internet prinieslo ovocie agónii niekoľkých organizácií, ktoré boli zaskočené. Podľa viacerých správ, vrátane tweetu firmy zaoberajúcej sa kybernetickou bezpečnosťou, dochádza k aktívnemu využívaniu serverov Microsoft Exchange.
Aktívne využívanie serverov Microsoft Exchange aktérmi APT prostredníctvom zraniteľnosti ECP CVE-2020-0688. Viac informácií o útokoch a spôsoboch ochrany vašej organizácie sa dozviete tu: https://t.co/fwoKvHOLaV#dfir#threatintel#infosecpic.twitter.com/2pqe07rrkg
- Volexity (@Volexity) 6. marca 2020
Čo je ešte alarmujúcejšie, je zapojenie aktérov APT (Advanced Persistent Threat) do celej schémy.
Skupinami APT sú zvyčajne štáty alebo subjekty sponzorované štátom. Je o nich známe, že majú technické a finančné predpoklady na nenápadný útok na niektoré z najviac strážených podnikových IT sietí alebo zdrojov.
Spoločnosť Microsoft vyhodnotila závažnosť zraniteľnosti CVE-2020-0688 ako dôležitú takmer pred mesiacom. Medzera v RCE si však aj dnes musí zaslúžiť seriózne zváženie, keďže NSA to pripomína technickému svetu.
Ovplyvnené servery MS Exchange
Nezabudnite opraviť ASAP, aby ste predišli potenciálnej katastrofe, ak stále bežíte bez opraveného servera MS Exchange orientovaného na internet. Existujú bezpečnostné aktualizácie pre príslušné verzie serverov 2010, 2013, 2016 a 2019.
Pri vydávaní aktualizácií spoločnosť Microsoft uviedla, že uvedená chyba zabezpečenia ohrozila schopnosť servera správne generovať overovacie kľúče počas inštalácie. Útočník by mohol túto medzeru zneužiť a na diaľku spustiť škodlivý kód v exponovanom systéme.
Znalosť overovacieho kľúča umožňuje autentizovanému používateľovi so schránkou odovzdať ľubovoľné objekty, ktoré majú byť deserializované webovou aplikáciou, ktorá beží ako SYSTÉM.
Väčšina výskumníkov v oblasti kybernetickej bezpečnosti sa domnieva, že takéto porušenie IT systému môže pripraviť pôdu pre útoky odmietnutia služby (DDoS). Microsoft však neuznal prijímanie správ o takomto porušení.
Zatiaľ sa zdá, že inštalácia opravy je jediným dostupným prostriedkom na odstránenie chyby servera CVE-2020-0688.
