Злонамерни актери нису престали да покушавају да искористе рањивост ЦВЕ-2020-0688 на серверима Мицрософт Екцханге који се суочавају са Интернетом, упозорила је недавно Агенција за националну безбедност (НСА).
О овој конкретној претњи до сада вероватно не би било ничега за писати да су све организације са рањивим серверима закрпане како је Мицрософт препоручио.
Према Твеет-у НСА-е, хакеру су потребни само важећи акредитиви за е-пошту да би извршио код на непачираном серверу, на даљину.
Даљинско извршавање кода # рањивост (ЦВЕ-2020-0688) постоји у систему Мицрософт Екцханге Сервер. Ако се не отпакује, нападач са акредитивима за е-пошту може извршавати наредбе на вашем серверу.
Смјернице за ублажавање доступне на: https://t.co/MMlBo8BsB0
- НСА / ЦСС (@НСАГов) 7. марта 2020
АПТ глумци активно крше неуправљене сервере
Вести опсежног скенирања за непримењене сервере МС Екцханге појавио се 25. фебруара 2020. У то време није било ниједног извештаја о успешном пробоју сервера.
Али организација за сајбер безбедност, Зеро Даи Инитиативе, већ је објавила
видео доказ о концепту, демонстрирајући како извршити удаљени напад ЦВЕ-2020-0688.Сада изгледа да је потрага за отвореним серверима окренутим ка Интернету уродила плодом неколико организација затечених изненада. Према више извештаја, укључујући Твеет компаније за цибер сигурност, постоји активно искоришћавање сервера Мицрософт Екцханге.
Активно искоришћавање сервера Мицрософт Екцханге од стране АПТ актера путем ЕЦП рањивости ЦВЕ-2020-0688. Овде сазнајте више о нападима и како заштитити своју организацију: https://t.co/fwoKvHOLaV#дфир#тхреатинтел#инфосецпиц.твиттер.цом/2пке07рркг
- Волекити (@Волекити) 6. марта 2020
Оно што је још алармантније је учешће актера напредне упорне претње (АПТ) у целој шеми.
Типично, АПТ групе су државе или ентитети које спонзорише држава. Познато је да имају технолошку и финансијску снагу да кришом нападају неке од најочуванијих корпоративних ИТ мрежа или ресурса.
Мицрософт је оценио озбиљност рањивости ЦВЕ-2020-0688 као важну пре скоро месец дана. Међутим, рупа око РЦЕ и данас мора заслужити озбиљно разматрање, јер НСА на то подсећа технолошки свет.
Погођени сервери МС Екцханге
Обавезно закрпите АСАП да бисте предухитрили потенцијалну катастрофу ако и даље користите непромијењени Интернет сервер МС Екцханге. Постоје безбедносне исправке за погођене верзије сервера 2010, 2013, 2016 и 2019.
Када је објавио исправке, Мицрософт је рекао да је предметна рањивост угрозила способност сервера да правилно генерише кључеве за проверу током инсталације. Нападач би могао да искористи ту рупу и изврши злонамерни код у изложеном систему, на даљину.
Познавање кључа за потврду омогућава ауторизованом кориснику са поштанским сандучетом да проследи произвољне објекте који ће бити десеријализовани од стране веб апликације која ради као СИСТЕМ.
Већина истраживача сајбер безбедности верује да кршење ИТ система на овај начин може отворити пут нападима ускраћивања услуге (ДДоС). Мицрософт, међутим, није признао примање извештаја о таквом кршењу.
За сада се чини да је инсталирање закрпе једини доступан лек за рањивост сервера ЦВЕ-2020-0688.
