Friendoffriends
Se il tuo Microsoft Exchange Server è online, fai bene a patchalo subito, se non lo hai già fatto. Microsoft non ha proposto una soluzione alternativa per l'attuale minaccia CVE-2020-0688, quindi sembra che l'installazione della correzione sia l'unica opzione praticabile per ora.
Scansione di massa per la vulnerabilità CVE-2020-0688 in corso
Quando, dopo aver appreso da un ricercatore anonimo, i ragazzi di Zero Day Initiative hanno pubblicato una demo della vulnerabilità di esecuzione di codice remoto (RCE) di MS Exchange Server, volevano solo istruire gli utenti. Dopo tutto, Microsoft aveva precedentemente rilasciato una patch per risolvere il bug.
Ma gli hacker avevano altre idee. Poco dopo che queste informazioni sono diventate di dominio pubblico, hanno avviato una ricerca su larga scala di server Exchange senza patch sul Web, secondo diversi rapporti.
È stato veloce, poiché 2 ore fa abbiamo visto una probabile scansione di massa per CVE-2020-0688 (vulnerabilità Microsoft Exchange 2007+ RCE). pic.twitter.com/Kp3zOi5AOA
- Kevin Beaumont (@GossiTheDog) 25 febbraio 2020
L'attività di scansione di massa CVE-2020-0688 è iniziata. Esegui una query sulla nostra API per "tags = CVE-2020-0688" per individuare gli host che eseguono le scansioni. #threatintel
- Bad Packets Report (@bad_packets) 25 febbraio 2020
Tali cattivi attori di solito non scansionano le vulnerabilità informatiche per il gusto di farlo. Se la loro ricerca in corso produce qualcosa, cercheranno sicuramente di sfruttare la scappatoia CVE-2020-0688.
Finora non ci sono segnalazioni di exploit CVE-2020-0688 di successo da parte di individui malintenzionati. Si spera che tu abbia protetto il tuo server nel momento in cui gli hacker lo avranno nel mirino.
Qual è il bug CVE-2020-0688?
Secondo Microsoft, CVE-2020-0688 è una vulnerabilità RCE in cui Exchange Server non riesce a generare correttamente chiavi univoche durante l'installazione.
La conoscenza della chiave di convalida consente a un utente autenticato con una cassetta postale di passare oggetti arbitrari che devono essere deserializzati dall'applicazione Web, che viene eseguita come SYSTEM. L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui Microsoft Exchange crea le chiavi durante l'installazione.
Le chiavi crittografiche sono al centro della sicurezza di qualsiasi dato o sistema IT. Quando gli hacker riescono a decifrarli in un exploit CVE-2020-0688, possono assumere il controllo di Exchange Server.
Tuttavia, Microsoft valuta la gravità della minaccia come importante piuttosto che critica. Forse questo è dovuto al fatto che un utente malintenzionato richiederebbe comunque l'autenticazione per utilizzare le chiavi di convalida.
Un hacker determinato potrebbe comunque essere in grado di ottenere le credenziali di sicurezza con altri mezzi, come il phishing, dopodiché lancerebbe comodamente un attacco CVE-2020-0688.
Tieni presente che non tutte le violazioni della sicurezza informatica provengono da giocatori malvagi che vivono in un nascondiglio nel seminterrato o in un paese straniero. Le minacce possono provenire da attori interni con autenticazione valida.
Gli hacker una volta hanno approfittato di una scappatoia simile, PrivExchange, per ottenere i diritti di amministratore di MS Exchange Server.
- Cybersecurity
- Microsoft Exchange
