Хиляди Exchange сървъри са все още застрашени от атаки към критична уязвимост

Хиляди Exchange сървъри са все още застрашени от атаки към критична уязвимост

През февруари тази година, Microsoft запуши CVE-2020-0688, критична уязвимост в Exchange, състояща се в неуспех на сървъра да създаде уникални ключове при инсталация. Успешното експлоатиране на въпросната уязвимост може да доведе до неоторизираното изпълнение на произволен код по дистанционен път със системни привилегии. Критичността на проблема и важността на Exchange инсталациите за всяко едно предприятие и бизнес провокираха Microsoft да обърне специално внимание на CVE-2020-0688, съветвайки администраторите да побързат с налагането на съответното обновление, поради риск от атаки. И такива не закъсняха. Опити за експлоатиране на уязвимостта се появиха още през февруари. Те продължиха през пролетта и лятото и не спират, докато хиляди сървъри в Интернет са все още необновени. Това показва проучване на Rapid7, което свидетелства за това, че от 433 464 инсталации, изложени онлайн, поне 61% от Exchange 2010, 2013, 2016 и 2019 са уязвими на проблема.

От Rapid7 отправят и конкретен съвет към тези, които тепърва ще налагат обновлението: освен да се уверят в правилната му инсталация, те е нужно и да проверят за признаци на компрометиране на сървъра. От компанията напомнят за серия от атаки през февруари, а после и през март тази година, с цел изследване на мрежата, доставянето на бекдор компоненти, компрометиране на целостта на паметта и други пост-експлоатационни действия.

„Обновлението за CVE-2020-0688 трябва да бъде инсталирано на всеки сървър, на който е активиран Exchange Control Panel (ECP) панела. Това обикновено са сървъри с Client Access Server (CAS) роля, позволяваща на потребителите ви да достигате Outlook Web App (OWA)“, обясняват от Rapid7. Нужно е също така администраторите да проверят записите за активността, на Windows Event Log и IIS, както в обновените, така и в необновените инсталации. Експлойт кодът, който Rapid7 тестват върху уязвими сървъри оставя в логовете, както запис от дейността на компрометирания акаунт, така и много дълги съобщения за грешка, който включва текста на невалидния viewstate.

Източник: www.kaldata.com