Агенція національної безпеки (NSA) нещодавно попередила, що зловмисні актори не перестають намагатися використати вразливість CVE-2020-0688 на серверах Microsoft Exchange, що стоять перед Інтернетом.
Цю конкретну загрозу, мабуть, не було б про що писати додому, якби всі організації з вразливими серверами були виправлені, як рекомендувала Microsoft.
Згідно з твітом NSA, хакеру потрібні лише дійсні облікові дані електронної пошти для віддаленого виконання коду на незаархівованому сервері.
Віддалене виконання коду # вразливість (CVE-2020-0688) існує на сервері Microsoft Exchange. Якщо його не виправити, зловмисник з обліковими даними електронної пошти може виконувати команди на вашому сервері.
Керівництво щодо пом'якшення наслідків доступне за адресою: https://t.co/MMlBo8BsB0
- NSA / CSS (@NSAGov) 7 квітня 2020 р
Актори APT активно порушують недопрацьовані сервери
Новини широкомасштабного сканування невідпрацьованих серверів MS Exchange з'явилося 25 лютого 2020 року. На той момент не було жодного повідомлення про успішне проникнення сервера.
Але організація з кібербезпеки Zero Day Initiative вже опублікувала відео доказової концепції, демонструючи, як виконати віддалену атаку CVE-2020-0688.
Зараз схоже, що пошук відкритих серверів, що стоять перед Інтернетом, приніс свої плоди агонії декількох організацій, які застали зненацька. Згідно з кількома звітами, включаючи твіт від фірми, що займається кібербезпекою, відбувається активне використання серверів Microsoft Exchange.
Активне використання серверів Microsoft Exchange акторами APT через вразливість ECP CVE-2020-0688. Дізнайтеся більше про атаки та як захистити свою організацію тут: https://t.co/fwoKvHOLaV#dfir# загрозаінтел#infosecpic.twitter.com/2pqe07rrkg
- Волексичність (@Volexity) 6 квітня 2020 р
Ще більш тривожним є залучення акторів Advanced Persistent Threat (APT) до всієї схеми.
Як правило, групи APT - це держави або суб'єкти, що фінансуються державою. Відомо, що вони мають технічні та фінансові сили для крадіжки нападів на деякі з найбільш суворо охоронюваних корпоративних ІТ-мереж або ресурсів.
Майкрософт оцінила важкість вразливості CVE-2020-0688 як важливу майже місяць тому. Однак лазівка RCE повинна все ще заслужити серйозного розгляду сьогодні, оскільки АНБ нагадує про це технічному світові.
Постраждалі сервери MS Exchange
Обов’язково виправте ASAP, щоб запобігти потенційній катастрофі, якщо ви все ще працюєте на незаблокованому сервері MS Exchange, який стоїть перед Інтернетом. Існує оновлення безпеки для уражених серверів версій 2010, 2013, 2016 та 2019.
Випускаючи оновлення, Microsoft заявила, що уразливість, про яку йдеться, порушує здатність сервера правильно генерувати ключі перевірки під час інсталяції. Зловмисник може використати цю лазівку та віддалено виконати шкідливий код у відкритій системі.
Знання ключа перевірки дозволяє автентифікованому користувачеві з поштовою скринькою передавати довільні об'єкти, які будуть десеріалізовані веб-програмою, яка працює як СИСТЕМА.
Більшість дослідників кібербезпеки вважають, що порушення цього способу ІТ-системи може відкрити шлях для атак відмови в обслуговуванні (DDoS). Однак Microsoft не визнала отримання повідомлень про таке порушення.
На даний момент, схоже, установка виправлення є єдиним доступним засобом усунення вразливості сервера CVE-2020-0688.
