Хакеры сканируют сеть в поисках уязвимых серверов Microsoft Exchange
ИБ-специалисты предупреждают, что злоумышленники уже сканируют сеть в поисках серверов Microsoft Exchange, уязвимых перед проблемой CVE-2020-0688, которую разработчики Microsoft исправили две недели назад.
Напомню, что проблема связана с работой компонента Exchange Control Panel (ECP) и с неспособностью Exchange создавать уникальные криптографические ключи при установке. Баг позволяет аутентифицированным злоумышленникам удаленно выполнять произвольный код с привилегиями SYSTEM и полностью скомпрометировать уязвимый сервер.
Anyhoo Microsoft rate the vulnerability as important, but I’d whack it up to Critical inside your orgs if you present Exchange directly to the internet.
— Kevin Beaumont (@GossiTheDog) February 25, 2020
Haven’t seen any signs of active exploitation, but I imagine this will be a vector for ransomware groups in coming months.
CVE-2020-0688 mass scanning activity has begun. Query our API for "tags=CVE-2020-0688" to locate hosts conducting scans. #threatintel
— Bad Packets Report (@bad_packets) February 25, 2020
Эксперты отмечают, что аутентификация на целевых серверах — не проблема для злоумышленников. Они проходят ее благодаря инструментами для сбора информации о сотрудниках компаний через LinkedIn, а затем используя эти данные, в сочетании с credential stuffing, против Outlook Web Access (OWA) и ECP.
«Эта уязвимость просто сыплет учетными данными. Вы попадаете в систему с правами SYSTEM. Запускаете Mimikatz. Exchange хранит учетные данные пользователя в памяти, в формате обычного текста, поэтому в итоге вы получаете все пароли пользователя без хеширования», — пишет Бомонт.
Администраторами уязвимых серверов рекомендуется как можно скорее установить патчи.