Zlonamerni akterji ne prenehajo iskati izkoriščanja ranljivosti CVE-2020-0688 v internetnih strežnikih Microsoft Exchange, je nedavno opozorila Nacionalna varnostna agencija (NSA).
O tej posebni grožnji verjetno ne bi nič več pisali domov, če bi vse organizacije z ranljivimi strežniki popravili, kot je priporočil Microsoft.
Po poročilu NSA-ja Tweet heker potrebuje samo veljavne e-poštne poverilnice za oddaljeno izvajanje kode na nekrpanem strežniku.
Oddaljeno izvajanje kode # ranljivost (CVE-2020-0688) obstaja v strežniku Microsoft Exchange. Če napadalec z e-poštnimi poverilnicami ni odpravljen, lahko na vašem strežniku izvaja ukaze.
Navodila za ublažitev so na voljo na: https://t.co/MMlBo8BsB0
- NSA / CSS (@NSAGov) 7. marec 2020
Akterji APT aktivno kršijo nepokrite strežnike
Novice obsežnega pregleda za neprimerne strežnike MS Exchange, ki se je pojavil 25. februarja 2020. Takrat ni bilo niti enega poročila o uspešni kršitvi strežnika.
Toda organizacija za kibernetsko varnost, Zero Day Initiative, je že objavila
dokazni koncept video, ki prikazuje, kako izvesti oddaljeni napad CVE-2020-0688.Zdi se, da je iskanje razkritih strežnikov, ki se soočajo z internetom, obrodilo sadove v agoniji več organizacij, ki so se ujele nenadoma. Glede na več poročil, vključno s tvitom podjetja za kibernetsko varnost, je aktivno izkoriščanje strežnikov Microsoft Exchange.
Aktivno izkoriščanje strežnikov Microsoft Exchange s strani akterjev APT prek ranljivosti ECP CVE-2020-0688. Več o napadih in kako zaščititi svojo organizacijo preberite tukaj: https://t.co/fwoKvHOLaV#dfir#threatintel#infosecpic.twitter.com/2pqe07rrkg
- Volexity (@Volexity) 6. marec 2020
Še bolj zaskrbljujoče je sodelovanje akterjev napredne vztrajne grožnje (APT) v celotni shemi.
Skupine APT so običajno države ali subjekti, ki jih sponzorira država. Znano je, da imajo tehnološko in finančno moč, da prikrito napadajo nekatera najbolj varovana korporativna informacijska omrežja ali vire.
Microsoft je resnost ranljivosti CVE-2020-0688 pred skoraj mesecem dni ocenil kot pomembno. Vendar je treba vrzel RCE še danes zaslužiti resno, saj NSA na to opozarja tehnološki svet.
Prizadeti strežniki MS Exchange
Ne pozabite popraviti ASAP, da preprečite morebitno katastrofo, če še vedno uporabljate neprimerjen strežnik MS Exchange, obrnjen proti internetu. Obstajajo varnostne posodobitve za prizadete strežniške različice 2010, 2013, 2016 in 2019.
Ob izdaji posodobitev je Microsoft dejal, da je zadevna ranljivost ogrozila sposobnost strežnika, da med namestitvijo pravilno generira potrjevalne ključe. Napadalec bi lahko izkoristil to vrzel in na daljavo izvede zlonamerno kodo v izpostavljenem sistemu.
Poznavanje potrjevalnega ključa omogoča overjenemu uporabniku z nabiralnikom, da posreduje poljubne predmete, ki jih spletna aplikacija, ki deluje kot SISTEM, deserializira.
Večina raziskovalcev kibernetske varnosti verjame, da lahko kršenje sistema IT na ta način utira pot napadom zavrnitve storitve (DDoS). Microsoft pa ni potrdil prejema poročil o takšni kršitvi.
Za zdaj se zdi, da je namestitev popravka edino razpoložljivo sredstvo za ranljivost strežnika CVE-2020-0688.
