Якщо ваш сервер Microsoft Exchange працює в Інтернеті, це добре патч це відразу, якщо ви ще цього не зробили. Корпорація Майкрософт не запропонувала способу вирішення поточної загрози CVE-2020-0688, тому, схоже, установка виправлення - це ваш єдиний життєздатний варіант.
Триває масове сканування на наявність уразливості CVE-2020-0688
Коли, дізнавшись від анонімного дослідника, люди з Zero Day Initiative опублікували демо щодо вразливості віддаленого виконання коду (RCE) MS Exchange Server, вони просто хотіли навчити користувачів. Зрештою, Microsoft раніше випустила виправлення для усунення помилки.
Але хакери мали інші ідеї. Незабаром після того, як ця інформація потрапила у суспільне надбання, згідно з кількома звітами, вони розпочали широкомасштабний пошук невідпакованих серверів Exchange у мережі.
Це було швидко, оскільки 2 години тому спостерігалося ймовірне масове сканування на наявність CVE-2020-0688 (уразливість Microsoft Exchange 2007+ RCE). pic.twitter.com/Kp3zOi5AOA
- Кевін Бомонт (@GossiTheDog) 25 лютого 2020 р
Почалася робота з масового сканування CVE-2020-0688. Запитайте наш API щодо "tags = CVE-2020-0688", щоб знайти хости, що проводять сканування. # загрозаінтел
- Звіт про погані пакети (@bad_packets) 25 лютого 2020 р
Такі погані актори, як правило, не шукають кібер-вразливості заради цього. Якщо їх постійний пошук щось дасть, вони, безумовно, спробують використати лазівку CVE-2020-0688.
Поки що немає повідомлень про успішну експлуатацію зловмисних осіб CVE-2020-0688. Сподіваємось, ви забезпечите свій сервер до того часу, коли хакери будуть його перехрещувати.
Що таке помилка CVE-2020-0688?
За даними Microsoft, CVE-2020-0688 - це вразливість RCE, при якій Exchange Server не вдається правильно створити унікальні ключі під час інсталяції.
Знання ключа перевірки дозволяє автентифікованому користувачеві з поштовою скринькою передавати довільні об'єкти для десеріалізації веб-програмою, яка працює як СИСТЕМА. Оновлення системи безпеки усуває вразливість, виправляючи те, як Microsoft Exchange створює ключі під час інсталяції.
Криптографічні ключі лежать в основі безпеки будь-яких даних або ІТ-системи. Коли хакерам вдається розшифрувати їх під час використання CVE-2020-0688, вони можуть взяти під контроль Exchange Server.
Однак Microsoft оцінює ступінь серйозності загрози як важливу, а не критичну. Можливо, це тому, що зловмисникові все одно знадобиться автентифікація для використання ключів перевірки.
Цілеспрямований хакер все ще може отримати облікові дані безпеки іншими способами, наприклад, фішингом, після чого вони зможуть зручно розпочати атаку CVE-2020-0688.
Майте на увазі, що не всі порушення кібербезпеки походять від недоброзичливих гравців, які живуть у сховищі підвалу або за кордоном. Загрози можуть надходити від внутрішніх акторів з дійсною автентифікацією.
Колись хакери скористалися подібною лазівкою, PrivExchange, щоб отримати права адміністратора MS Exchange Server.
