Для защиты от уязвимости удаленного выполнения кода (RCE) CVE-2020-0688 после авторизации, затрагивающей все поддерживаемые версии Exchange Server, необходимо установить исправление более чем 247000 серверов Microsoft Exchange.
Уязвимость CVE-2020-0688 RCE существует в компоненте панели управления Exchange (ECP), который включен в конфигурациях по умолчанию, и позволяет потенциальным злоумышленникам удаленно захватить уязвимые серверы Exchange, используя любые действительные учетные данные электронной почты.
Корпорация Майкрософт рассмотрела проблему безопасности в рамках февральского вторника исправлений 2020 года и пометила ее оценкой индекса уязвимости «Использование более вероятной», предполагая, что уязвимость является привлекательной целью для злоумышленников.
Фирма по кибербезопасности Rapid7 добавила модуль MS Exchange RCE в структуру тестирования на проникновение Metasploit, которую она разрабатывает 4 марта, после того , как на GitHub появилось несколько экспериментальных эксплойтов .
Неделю спустя CISA и NSA призвали организации как можно скорее исправить свои серверы исправлением уязвимости CVE-2020-0688, учитывая, что несколько групп APT уже активно использовали ее в дикой природе .
Более 61% серверов, уязвимых к эксплуатации, не исправлены
В обновлении предыдущего отчета о количестве открытых серверов Exchange, уязвимых для атак, пытающихся использовать уязвимость CVE-2020-0688, Rapid7 еще раз использовал свой инструмент опроса в Интернете Project Sonar для другого персонала.
И цифры почти такие же мрачные, как и раньше: 61,10% (247 986 из 405 873) уязвимых серверов (например, Exchange 2010, 2013, 2016 и 2019) все еще не исправлены и подвержены продолжающимся атакам.
Исследователи компании обнаружили, что 87% из почти 138 000 серверов Exchange 2016 и 77% из примерно 25 000 серверов Exchange 2019 остались уязвимыми для эксплойтов CVE-2020-0688, и что примерно 54 000 серверов Exchange 2010 «не обновлялись за шесть лет».
Rapid7 также обнаружил 16 577 серверов Exchange 2007, доступных через Интернет, неподдерживаемую версию Exchange, которая не получала обновлений безопасности для защиты от атак CVE-2020-0688.
Часть сканирования CVE-2020-0688 Rapid7 ( Rapid7 )
Исправление серверов Exchange против CVE-2020-0688
«Есть два важных действия, которые необходимо предпринять администраторам Exchange и командам информационной безопасности: проверка развертывания обновления и проверка на наличие признаков взлома», - объясняет Том Селлерс, старший менеджер Rapid7 Labs.
Взломанные учетные записи, используемые при атаках на серверы Exchange, можно легко обнаружить, проверив журналы событий Windows и IIS на предмет частей закодированных полезных данных, включая текст «Недопустимое состояние просмотра» или строки __VIEWSTATE и __VIEWSTATEGENERATOR для запросов к пути в / ecp (обычно / ecp / default.aspx).
Поскольку Microsoft заявила, что нет никаких мер по снижению уязвимости CVE-2020-0688, единственный оставшийся выбор - исправить серверы до того, как злоумышленники найдут их и полностью скомпрометируют всю сеть, в которой они находятся, - если у администраторов нет времени и желания сбросить пароли всех учетных записей, чтобы обезвредить ранее украденные учетные данные.
Прямые ссылки для загрузки обновлений безопасности, которые необходимо установить для исправления уязвимых версий Microsoft Exchange Server, и соответствующие статьи базы знаний перечислены в таблице ниже:
Товар | Статья | Скачать |
Пакет обновления 3 для Microsoft Exchange Server 2010 30 накопительный пакет обновления | 4536989 | Обновление безопасности |
Накопительное обновление для Microsoft Exchange Server 2013 23 | 4536988 | Обновление безопасности |
Накопительное обновление 14 для Microsoft Exchange Server 2016 | 4536987 | Обновление безопасности |
Накопительное обновление для Microsoft Exchange Server 2016 15 | 4536987 | Обновление безопасности |
Накопительное обновление 3 для Microsoft Exchange Server 2019 | 4536987 | Обновление безопасности |
Накопительное обновление 4 для Microsoft Exchange Server 2019 | 4536987 | Обновление безопасности |
Перевод с английского - Google
