ИБ-специалисты предупреждают, что злоумышленники уже сканируют сеть в поисках серверов Microsoft Exchange, уязвимых перед проблемой CVE-2020-0688, которую разработчики Microsoft исправили две недели назад.
Напомню, что проблема связана с работой компонента Exchange Control Panel (ECP) и с неспособностью Exchange создавать уникальные криптографические ключи при установке. Баг позволяет аутентифицированным злоумышленникам удаленно выполнять произвольный код с привилегиями SYSTEM и полностью скомпрометировать уязвимый сервер.
Демонстрация проблемы использования статических криптографических ключей на непропатченном сервере уже опубликована специалистами Zero Day Initiative (см. ролик ниже). Исследователи предупреждают, что любой удаленный атакующий, скомпрометировавший устройство или учетные данные сотрудника компании, сможет перейти на сервер Exchange и получит возможность читать и подделывать корпоративную почту.
О массовом сканировании сети в поисках уязвимых серверов уже предупреждают известные ИБ-эксперты Кевин Бомонт (Kevin Beaumont) и Трой Мурш (Troy Mursch) из компании Bad Packets:
That was quick, since 2 hours ago seeing likely mass scanning for CVE-2020-0688 (Microsoft Exchange 2007+ RCE vulnerability). pic.twitter.com/Kp3zOi5AOA
— Kevin Beaumont (@GossiTheDog) February 25, 2020
CVE-2020-0688 mass scanning activity has begun. Query our API for "tags=CVE-2020-0688" to locate hosts conducting scans. #threatintel
— Bad Packets Report (@bad_packets) February 25, 2020
Эксперты отмечают, что аутентификация на целевых серверах — не проблема для злоумышленников. Они проходят ее благодаря инструментами для сбора информации о сотрудниках компаний через LinkedIn, а затем используя эти данные, в сочетании с credential stuffing, против Outlook Web Access (OWA) и ECP.
«Эта уязвимость просто сыплет учетными данными. Вы попадаете в систему с правами SYSTEM. Запускаете Mimikatz. Exchange хранит учетные данные пользователя в памяти, в формате обычного текста, поэтому в итоге вы получаете все пароли пользователя без хеширования», — пишет Бомонт.
Администраторами уязвимых серверов рекомендуется как можно скорее установить патчи.
| Версия | Бюллетень безопансости | Патчи |
| Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30 | 4536989 | Security Update |
| Microsoft Exchange Server 2013 Cumulative Update 23 | 4536988 | Security Update |
| Microsoft Exchange Server 2016 Cumulative Update 14 | 4536987 | Security Update |
| Microsoft Exchange Server 2016 Cumulative Update 15 | 4536987 | Security Update |
| Microsoft Exchange Server 2019 Cumulative Update 3 | 4536987 | Security Update |
| Microsoft Exchange Server 2019 Cumulative Update 4 | 4536987 | Security Update |
