DAJ CYNK

Serwery Microsoft Exchange posiadają niebezpieczną lukę - uwaga!

Henryk Tur

Bezpieczeństwo

Luka CVE-2020-068, znajdująca się w komponencie Exchange Control Panel (ECP), umożliwia napastnikom zdalne przejęcie serwerów Exchange. Microsoft już dawno temu wydał poprawkę, ale wprowadzona została tylko na 39% serwerów.

Konkretniej - Microsoft wydał aktualizację, która likwiduje lukę CVE-2020-0688 w serwerach Microsoft Exchange, niemal osiem miesięcy temu. Niestety, admini działów IT nie śpieszą się z jej wprowadzeniem. W kwietniu b.r. firma Rapid7, firma działająca w branży cyberbezpieczeństwa, opublikowała wyniki swoich badań na ten temat. Okazało się, że ponad 80 procent serwerów Exchange wciąż było podatnych na ataki (a dokładnie 357 tys. spośród 433 tys. przebadanych). Choć od kwietnia minęło pół roku, sytuacja nie ulegała poprawie. Według najnowszych badań wciąż 61% serwerów Exchange (edycje 2010, 2013, 2016 i 2019) nadal posiada lukę CVE-2020-0688. W dodatku aż  54 tys. serwerów Exchange 2010 nie było aktualizowanych od sześciu lat.

Jest to otyle groźne, że luka CVE-2020-0688 umożliwia zdalne uruchamianie złośliwego kodu w systemie ofiary z poziomu sieci lokalnej bądź Internetu. Znajduje się w komponencie Exchange Control Panel (ECP)  i umożliwia napastnikom zdalne przejęcie serwerów Exchange za pomocą danych logowania do konta e-mail.

Zobacz: Dziura w Instagramie: usunięte zdjęcia i wiadomości wciąż pozostawały na serwerach

Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender, komentuje:

Dane przedstawione przez Rapid7 są bardzo niepokojące, tym bardziej, że jednym z największych zagrożeń dla firm są właśnie luki w systemach operacyjnych i zainstalowanych programach. Dlatego tak ważne jest instalowanie łatek publikowanych przez producenta oprogramowania. Szczególnie w tym zakresie przydatne są narzędzia do zarządzania uaktualnieniami oferowane przez niektóre aplikacje bezpieczeństwa. Natomiast administratorzy serwerów Exchange powinni zweryfikować przeprowadzone do tej pory aktualizacje oraz sprawdzić oznaki naruszenia bezpieczeństwa

Narażone konta, które są wykorzystywane w atakach na serwery Exchange można łatwo wykryć, sprawdzając dzienniki zdarzeń systemu Windows i IIS pod kątem części zakodowanych ładunków, w tym tekstu „Invalid viewstate” lub ciągów __VIEWSTATE i __VIEWSTATEGENERATOR dla żądań do ścieżki w / ecp (zwykle / ecp / default.aspx).

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: Brett Sayles/Pexels

Źródło tekstu: Bitdefender, WHITE-MAGICK

Przewiń w dół do następnego wpisu