Luka CVE-2020-068, znajdująca się w komponencie Exchange Control Panel (ECP), umożliwia napastnikom zdalne przejęcie serwerów Exchange. Microsoft już dawno temu wydał poprawkę, ale wprowadzona została tylko na 39% serwerów.
Konkretniej - Microsoft wydał aktualizację, która likwiduje lukę CVE-2020-0688 w serwerach Microsoft Exchange, niemal osiem miesięcy temu. Niestety, admini działów IT nie śpieszą się z jej wprowadzeniem. W kwietniu b.r. firma Rapid7, firma działająca w branży cyberbezpieczeństwa, opublikowała wyniki swoich badań na ten temat. Okazało się, że ponad 80 procent serwerów Exchange wciąż było podatnych na ataki (a dokładnie 357 tys. spośród 433 tys. przebadanych). Choć od kwietnia minęło pół roku, sytuacja nie ulegała poprawie. Według najnowszych badań wciąż 61% serwerów Exchange (edycje 2010, 2013, 2016 i 2019) nadal posiada lukę CVE-2020-0688. W dodatku aż 54 tys. serwerów Exchange 2010 nie było aktualizowanych od sześciu lat.
Jest to otyle groźne, że luka CVE-2020-0688 umożliwia zdalne uruchamianie złośliwego kodu w systemie ofiary z poziomu sieci lokalnej bądź Internetu. Znajduje się w komponencie Exchange Control Panel (ECP) i umożliwia napastnikom zdalne przejęcie serwerów Exchange za pomocą danych logowania do konta e-mail.
Zobacz: Dziura w Instagramie: usunięte zdjęcia i wiadomości wciąż pozostawały na serwerach
Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender, komentuje:
Dane przedstawione przez Rapid7 są bardzo niepokojące, tym bardziej, że jednym z największych zagrożeń dla firm są właśnie luki w systemach operacyjnych i zainstalowanych programach. Dlatego tak ważne jest instalowanie łatek publikowanych przez producenta oprogramowania. Szczególnie w tym zakresie przydatne są narzędzia do zarządzania uaktualnieniami oferowane przez niektóre aplikacje bezpieczeństwa. Natomiast administratorzy serwerów Exchange powinni zweryfikować przeprowadzone do tej pory aktualizacje oraz sprawdzić oznaki naruszenia bezpieczeństwa
Narażone konta, które są wykorzystywane w atakach na serwery Exchange można łatwo wykryć, sprawdzając dzienniki zdarzeń systemu Windows i IIS pod kątem części zakodowanych ładunków, w tym tekstu „Invalid viewstate” lub ciągów __VIEWSTATE i __VIEWSTATEGENERATOR dla żądań do ścieżki w / ecp (zwykle / ecp / default.aspx).
Źródło zdjęć: Brett Sayles/Pexels
Źródło tekstu: Bitdefender, WHITE-MAGICK