Хакеры сканируют сеть в поисках уязвимых серверов Microsoft Exchange

ИБ-специалисты предупреждают, что злоумышленники уже сканируют сеть в поисках серверов Microsoft Exchange, уязвимых перед проблемой CVE-2020-0688, которую разработчики Microsoft исправили две недели назад.

Напомню, что проблема связана с работой компонента Exchange Control Panel (ECP) и с неспособностью Exchange создавать уникальные криптографические ключи при установке. Баг позволяет аутентифицированным злоумышленникам удаленно выполнять произвольный код с привилегиями SYSTEM и полностью скомпрометировать уязвимый сервер.

Демонстрация проблемы использования статических криптографических ключей на непропатченном сервере уже опубликована специалистами Zero Day Initiative (см. ролик ниже). Исследователи предупреждают, что любой удаленный атакующий, скомпрометировавший устройство или учетные данные сотрудника компании, сможет перейти на сервер Exchange и получит возможность читать и подделывать корпоративную почту.

О массовом сканировании сети в поисках уязвимых серверов уже предупреждают известные ИБ-эксперты Кевин Бомонт (Kevin Beaumont) и Трой Мурш (Troy Mursch) из компании Bad Packets:

Эксперты отмечают, что аутентификация на целевых серверах — не проблема для злоумышленников. Они проходят ее благодаря инструментами для сбора информации о сотрудниках компаний через LinkedIn, а затем используя эти данные, в сочетании с credential stuffing, против Outlook Web Access (OWA) и ECP.

«Эта уязвимость просто сыплет учетными данными. Вы попадаете в систему с правами SYSTEM. Запускаете Mimikatz. Exchange хранит учетные данные пользователя в памяти, в формате обычного текста, поэтому в итоге вы получаете все пароли пользователя без хеширования», — пишет Бомонт.

Администраторами уязвимых серверов рекомендуется как можно скорее установить патчи.

Версия Бюллетень безопансости Патчи
Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30 4536989 Security Update
Microsoft Exchange Server 2013 Cumulative Update 23 4536988 Security Update
Microsoft Exchange Server 2016 Cumulative Update 14 4536987 Security Update
Microsoft Exchange Server 2016 Cumulative Update 15 4536987 Security Update
Microsoft Exchange Server 2019 Cumulative Update 3 4536987 Security Update
Microsoft Exchange Server 2019 Cumulative Update 4 4536987 Security Update
Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.
Похожие материалы