ИБ-специалисты предупреждают, что злоумышленники уже сканируют сеть в поисках серверов Microsoft Exchange, уязвимых перед проблемой CVE-2020-0688, которую разработчики Microsoft исправили две недели назад.
Напомню, что проблема связана с работой компонента Exchange Control Panel (ECP) и с неспособностью Exchange создавать уникальные криптографические ключи при установке. Баг позволяет аутентифицированным злоумышленникам удаленно выполнять произвольный код с привилегиями SYSTEM и полностью скомпрометировать уязвимый сервер.
Демонстрация проблемы использования статических криптографических ключей на непропатченном сервере уже опубликована специалистами Zero Day Initiative (см. ролик ниже). Исследователи предупреждают, что любой удаленный атакующий, скомпрометировавший устройство или учетные данные сотрудника компании, сможет перейти на сервер Exchange и получит возможность читать и подделывать корпоративную почту.
О массовом сканировании сети в поисках уязвимых серверов уже предупреждают известные ИБ-эксперты Кевин Бомонт (Kevin Beaumont) и Трой Мурш (Troy Mursch) из компании Bad Packets:
Эксперты отмечают, что аутентификация на целевых серверах — не проблема для злоумышленников. Они проходят ее благодаря инструментами для сбора информации о сотрудниках компаний через LinkedIn, а затем используя эти данные, в сочетании с credential stuffing, против Outlook Web Access (OWA) и ECP.
Напомню, что проблема связана с работой компонента Exchange Control Panel (ECP) и с неспособностью Exchange создавать уникальные криптографические ключи при установке. Баг позволяет аутентифицированным злоумышленникам удаленно выполнять произвольный код с привилегиями SYSTEM и полностью скомпрометировать уязвимый сервер.
Демонстрация проблемы использования статических криптографических ключей на непропатченном сервере уже опубликована специалистами Zero Day Initiative (см. ролик ниже). Исследователи предупреждают, что любой удаленный атакующий, скомпрометировавший устройство или учетные данные сотрудника компании, сможет перейти на сервер Exchange и получит возможность читать и подделывать корпоративную почту.
О массовом сканировании сети в поисках уязвимых серверов уже предупреждают известные ИБ-эксперты Кевин Бомонт (Kevin Beaumont) и Трой Мурш (Troy Mursch) из компании Bad Packets:
Эксперты отмечают, что аутентификация на целевых серверах — не проблема для злоумышленников. Они проходят ее благодаря инструментами для сбора информации о сотрудниках компаний через LinkedIn, а затем используя эти данные, в сочетании с credential stuffing, против Outlook Web Access (OWA) и ECP.
Администраторами уязвимых серверов рекомендуется как можно скорее установить патчи.
| Версия | Бюллетень безопансости | Патчи |
| Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30 | 4536989 | Security Update |
| Microsoft Exchange Server 2013 Cumulative Update 23 | 4536988 | Security Update |
| Microsoft Exchange Server 2016 Cumulative Update 14 | 4536987 | Security Update |
| Microsoft Exchange Server 2016 Cumulative Update 15 | 4536987 | Security Update |
| Microsoft Exchange Server 2019 Cumulative Update 3 | 4536987 | Security Update |
| Microsoft Exchange Server 2019 Cumulative Update 4 | 4536987 | Security Update |