Microsoft алармира, че хакери експлоатират активно сериозна уязвимост в имейл сървърите Exchange. Те са регистрирали сериозен ръст в атаките към уязвимост, която компанията адресира още през февруари в редовния си пакет с обновления. Тези, които все още не са наложили обновление за CVE-2020-0688 е нужно да го направят възможно по-скоро. Става дума за критична уязвимост, позволяваща изпълнението на произволен код по отдалечен път.

Въпросната уязвимост съществува при инсталирането на сървъра и случаи, в които не успява да генерира по надлежния път уникални ключове.

„Знание за валидационния ключ позволява на авторизирал се потребител с пощенска кутия да изпрати произволни обекти да бъдат десериализирани от уеб апликацията, която има права на SYSTEM“, пише в бюлетина по сигурност, издаден от компанията през февруари.

За това, че CVE-2020-0688 се експлоатира активно от вемоствени, военни хакери, беше съобщено още през март тази година от ZDNet. Тези атаки обаче явно са зачестили, което е и причината Microsoft да призове за запушване на дупката.

Както обясниха от медията през март, уязвимостта се състои в това, че Exchange сървърите не успяват да създадат при инсталация уникален криптографски ключ за достъп до панела за управление. „Това означава, че всички Microsoft Exchange сървъри, пуснати през последните 10+ години използват идентични криптографски ключове за контролния панел на бекенд-а“, написаха през март ZDNet.

От Microsoft обясняват, че най-често атаките към тази уязвимост започват първо с фишинг атака или с директно атакуване на десктоп система, която се намира в мрежата на организация, а след това използват този си достъп, за да достигнат Exchange сървъра. А през април са зачестили атаките и към друга уязвимост. Хардик Сури от Microsoft Defender ATP Research екипа споделят, че са регистрирали атаки към CVE-2020-0688 – атаки към Internet Information Service (IIS) компонента в Exchange. „Първият сценарий е по-често срещан, но ние наблюдаваме ръст в атаките от друго естество, атаки, които експлоатират уязвимости, като CVE-2020-0688. Обновлението по сигурността, което адресира тази уязвимост е налично от няколко месеца, но трябва да се отбележи това, че и до днес хакерите намират уязвими сървъри, които да атакуват“.

Предупреждението на Microsoft идва скоро след издадено предупреждение от страна на австралийското правителство към местните компании и потребители да обновят софтуера си, който комуникира с Интернет. Макар и да не назовават конкретния вектор за атаките, които те регистрират, то те приличат на тези, които описват Microsoft към IIS и Exchange.

И в двата случая, атакуващата страна имплантира уебшел, който действа като троянски кон към изложените на Интернет части на Exchange, като например страницата за вписване в Outlook за уеб-версията на програмата (известна преди като Outlook Web Access). Множество подобни атаки са регистрирани през април, като най-популярната програма за осъществяване на подобен достъп се явява зловреден уебшел с иимето China Chopper.

Веднъж установили зловредния уебшел, хакерите изследват домейна и ако открият недобре конфигуриран сървър, добавят нови акаунти за групи с високи привилегии, като Administrator, Remote Desktop Users и Enterprise Admin.

Сури съветва налагането на достъпните обновления, включването на двуфакторна защита при вписване и при машини с Windows 10 активирането на нужните механизми, които биха предотвратили атаки, които се опитват да изключат антивирусните програми. Той смята, че е добре и организациите да прегледат записите, свързани с групи, които имат високи привилегии в системата като администратори, потребители на отдалечени десктопи и Enterprise Admins.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
1 Коментар
стари
нови оценка
Отзиви
Всички коментари