Serwery Microsoft Exchange z poważną luką

Serwery Microsoft Exchange posiadają lukę CVE-2020-0688, która umożliwia zdalne uruchamianie złośliwego kodu w systemie ofiary z poziomu sieci lokalnej bądź Internetu. Pomimo tego, że Microsoft wydał aktualizację niemal osiem miesięcy temu, aż 61 proc. serwerów jest nadal podatnych na ataki.

Microsoft Exchange

Luka CVE-2020-0688 znajduje się w komponencie Exchange Control Panel (ECP)  i umożliwia napastnikom zdalne przejęcie serwerów Exchange za pomocą danych logowania do konta e-mail. Microsoft zamieścił 11 lutego informację o luce 2020-0688 RCE w ramach comiesięcznego „Patch Tuesday” informując o wykorzystaniu tej podatności przez exploity jako „bardzo prawdopodobne”.

W marcu Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) oraz NSA (National Academy of Sciences) ostrzegły administratorów sieci, że niezałatane serwery stały się obiektem ataków ukierunkowanych APT. Napastnicy wykorzystują lukę do uruchamiana poleceń systemowych w celu przeprowadzenia rekonesansu i wprowadzenia backdoora Web Shell, który umożliwia hakerowi dostęp do powłoki systemowej atakowanego serwera.

Test Lenovo ThinkBook Plus – laptop z dodatkowym ekranem e-link

W kwietniu Rapid7, firma działająca w branży cyberbezpieczeństwa, opublikowała wyniki badań, z których wynikało, że ponad 80 procent serwerów Exchange wciąż było podatnych na ataki (357 tys. spośród 433 tys. posiadało lukę). Autorzy wykorzystali narzędzie Project Sonar służące do analizy serwerów Exchange połączonych z Internetem. Co gorsza, w ciągu ostatnich kilku miesięcy sytuacja nie ulegała zasadniczej poprawie. Według najnowszych badań 61 proc. serwerów Exchange (2010, 2013, 2016 i 2019) nadal posiada lukę CVE-2020-0688. Na uwagę zasługuje fakt, iż  54 tys. serwerów Exchange 2010 nie było aktualizowanych od sześciu lat.

– Dane przedstawione przez Rapid7 są bardzo niepokojące, tym bardziej, że jednym z największych zagrożeń dla firm są właśnie luki w systemach operacyjnych i zainstalowanych programach. Dlatego tak ważne jest instalowanie łatek publikowanych przez producenta oprogramowania. Szczególnie w tym zakresie przydatne są narzędzia do zarządzania uaktualnieniami oferowane przez niektóre aplikacje bezpieczeństwa.

Natomiast administratorzy serwerów Exchange powinni zweryfikować przeprowadzone do tej pory aktualizacje oraz sprawdzić oznaki naruszenia bezpieczeństwa. – tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender.

Narażone konta, które są wykorzystywane w atakach na serwery Exchange można łatwo wykryć, sprawdzając dzienniki zdarzeń systemu Windows i IIS pod kątem części zakodowanych ładunków, w tym tekstu „Invalid viewstate” lub ciągów __VIEWSTATE i __VIEWSTATEGENERATOR dla żądań do ścieżki w / ecp (zwykle / ecp / default.aspx).

źródło: Bitdefender

Dodaj komentarz

%d bloggers like this: