Aktualizujte svoje Microsoft Exchange servery, kým nebude neskoro. Ich skenovanie už začalo

Microsoft Exchange

Zdroj: BleepingComputer

Chyba Microsoft Exchange označená ako CVE-2020-0688 bola síce firmou Microsoft opravená pred viac ako 2 týždňami, ale niektorí admini a firmy stále na niečo čakajú. Možno chcú vo svojej sieti ransomvér.

Podľa informácii bezpečnostných výskumníkov sú zasiahnuté všetky verzie Microsoft Exchange, aj keď firma Microsoft uvádza len Microsoft Exchange Server 2010, Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 a Microsoft Exchange Server 2019.

Na zneužitie chyby je síce nutné mať prístupové práva používateľa a mailbox na serveri, ale to nie je veľmi vysoká prekážka pre útočníkov. Ak ide o cielený útok, tak môžu poslať používateľovi phishingový email. Druhá možnosť je vyskúšať uniknuté mená a heslá z rôznych služieb, ktorých sa povaľujú po internete milióny. Samozrejme ak je útočník už vo vnútri firmy a má prístupy, tak môže napadnúť server aj zvnútra.

Vďaka chybe môže obyčajný prihlásený emailový používateľ vykonať kód na diaľku so SYSTEM právami a úplne ho ovládnuť. Jedna z následných možností zneužitia je skúsiť BEC a posielať emaily v mene firmy. Druhá možnosť je pokračovať ďalej do siete firmy a skúsiť ransomvér útok.

Pohľad na Shodan ukazuje 742 serverov. Medzi používateľmi Microsoft Exchange sú zaujímavé a významné firmy. Rozmiestnenie podľa geolokácie IP adries na Slovensku nižšie.

Shodan Exchange SK

Obrázok č.1: Počet a rozmiestnenie Microsoft Exchange serverov podľa služby Shodan
Zdroj: incident.sk/Shodan

Bezpečnostný výskumník Zero Day Initiative Simon Zuckerbraun sa vyjadril, že ide o kritickú chybu a je nutné aktualizovať Exchange hneď ako je to možné. Takisto povedal, že Microsoft udelil chybe Exploit Index 1 čo znamená, že exploity sa objavia do 30 dní. Polovica času už ubehla.

Rôzne služby a bezpečnostní výskumníci už zaznamenali skenovanie existujúcich serverov. Skenovanie internetu a zisťovanie IP adries exponovaných Exchange serverov je prvý krok pred útokmi. Vo chvíli keď budú mať útočníci exploit, tak začnú aj útoky samotné.

AKTUALIZUJTE!

DOPLNENÉ (29.2.2020)

TrustedSec napísal zaujímavý blog o chybe aj s IOC (indicator of compromise). Blog sa volá „Detecting CVE-2020-0688 Remote Code Execution Vulnerability on Microsoft Exchange Server„.
V blogu TrustedSec sa nachádza aj PoC kód, z ktorého vychádzali. Exploit som našiel tu.

Obrázok: TippingPoint Zero Day Initiative

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ

HackerFest 2022 – hra na schovávačku s hackermi!

HackerFest 2022 Hra na schovávačku s hackermi v cloude, efektívne preverovanie bezpečnosti webových aplikácií a najnovšie hackerské techniky v praxi – HackerFest 2022 Tradičnú  konferenciu…