Skadliga aktörer har inte slutat leta efter att utnyttja sårbarheten CVE-2020-0688 på Internet-vända Microsoft Exchange-servrar, varnade National Security Agency (NSA) nyligen.
Det här hotet skulle förmodligen inte vara något att skriva hem om nu hade alla organisationer med utsatta servrar lappat som Microsoft hade rekommenderat.
Enligt en Tweet från NSA behöver en hackare bara giltiga e-postuppgifter för att köra koden på en server som inte har skickats, på distans.
En fjärrkodkörning #sårbarhet (CVE-2020-0688) finns i Microsoft Exchange Server. Om den inte har patchats kan en angripare med e-postuppgifter utföra kommandon på din server.
Lättgörande vägledning finns på: https://t.co/MMlBo8BsB0
- NSA / CSS (@NSAGov) 7 mars 2020
APT-aktörer bryter aktivt mot opatchade servrar
Nyheter av en storskalig genomsökning av opatchade MS Exchange-servrar dök upp den 25 februari 2020. Vid den tiden fanns det ingen enskild rapport om ett framgångsrikt serverbrott.
Men en cybersäkerhetsorganisation, Zero Day Initiative, hade redan publicerat en
proof-of-concept-video, som visar hur man utför en fjärr-CVE-2020-0688-attack.Nu ser det ut som att sökandet efter exponerade internetinriktade servrar har gett frukt för ångest hos flera organisationer som fångats utan hänsyn. Enligt flera rapporter, inklusive en Tweet av ett cybersäkerhetsföretag, finns det ett aktivt utnyttjande av Microsoft Exchange-servrar.
Aktivt utnyttjande av Microsoft Exchange-servrar av APT-aktörer via ECP-sårbarheten CVE-2020-0688. Läs mer om attackerna och hur du skyddar din organisation här: https://t.co/fwoKvHOLaV#dfir#threatintel#infosecpic.twitter.com/2pqe07rrkg
- Volexity (@Volexity) 6 mars 2020
Det som är ännu mer alarmerande är involveringen av Advanced Persistent Threat (APT) aktörer i hela systemet.
APT-grupper är vanligtvis stater eller statssponserade enheter. De är kända för att ha tekniken och den finansiella muskeln för att smygande attackera några av de mest skyddade företags IT-nätverk eller resurser.
Microsoft bedömde svårighetsgraden av CVE-2020-0688-sårbarheten som viktig för nästan en månad sedan. RCE-kryphålet måste dock fortfarande förtjänas allvarligt idag, eftersom NSA påminner teknikvärlden om det.
Berörda MS Exchange-servrar
Var noga med att korrigera ASAP för att förhindra en potentiell katastrof om du fortfarande kör en oöverträffad Internet-riktad MS Exchange-server. Det finns säkerhetsuppdateringar för de berörda serverversionerna 2010, 2013, 2016 och 2019.
När de släppte uppdateringarna sa Microsoft att sårbarheten i fråga äventyrade serverns förmåga att generera valideringsnycklar ordentligt under installationen. En angripare kan utnyttja det kryphålet och köra skadlig kod i ett exponerat system, på distans.
Kunskap om en valideringsnyckel gör det möjligt för en autentiserad användare med en postlåda att skicka godtyckliga objekt för att deserialiseras av webbapplikationen, som körs som SYSTEM.
De flesta cybersäkerhetsforskare tror att brott mot ett IT-system på detta sätt kan bana väg för DDoS-attacker. Microsoft har dock inte erkänt att ha mottagit rapporter om ett sådant brott.
För närvarande verkar det som att installera korrigeringsfilen är det enda tillgängliga botemedlet för CVE-2020-0688-serverns sårbarhet.
