Хакеры сканируют сеть в поисках уязвимых серверов Microsoft Exchange
ИБ-специалисты предупреждают, что злоумышленники уже сканируют сеть в поисках серверов Microsoft Exchange, уязвимых перед проблемой CVE-2020-0688, которую разработчики Microsoft исправили две недели назад.
Напомню, что проблема связана с работой компонента Exchange Control Panel (ECP) и с неспособностью Exchange создавать уникальные криптографические ключи при установке. Баг позволяет аутентифицированным злоумышленникам удаленно выполнять произвольный код с привилегиями SYSTEM и полностью скомпрометировать уязвимый сервер.
Демонстрация проблемы использования статических криптографических ключей на непропатченном сервере уже опубликована специалистами Zero Day Initiative (см. ролик ниже). Исследователи предупреждают, что любой удаленный атакующий, скомпрометировавший устройство или учетные данные сотрудника компании, сможет перейти на сервер Exchange и получит возможность читать и подделывать корпоративную почту.
О массовом сканировании сети в поисках уязвимых серверов уже предупреждают известные ИБ-эксперты Кевин Бомонт (Kevin Beaumont) и Трой Мурш (Troy Mursch) из компании Bad Packets:
Anyhoo Microsoft rate the vulnerability as important, but I’d whack it up to Critical inside your orgs if you present Exchange directly to the internet.
Haven’t seen any signs of active exploitation, but I imagine this will be a vector for ransomware groups in coming months. - Kevin Beaumont (@GossiTheDog) February 25, 2020
CVE-2020-0688 mass scanning activity has begun. Query our API for "tags=CVE-2020-0688" to locate hosts conducting scans. threatintel - Bad Packets Report (@bad_packets) February 25, 2020
Эксперты отмечают, что аутентификация на целевых серверах - не проблема для злоумышленников. Они проходят ее благодаря инструментами для сбора информации о сотрудниках компаний через LinkedIn, а затем используя эти данные, в сочетании с credential stuffing, против Outlook Web Access (OWA) и ECP.
"Эта уязвимость просто сыплет учетными данными. Вы попадаете в систему с правами SYSTEM. Запускаете Mimikatz. Exchange хранит учетные данные пользователя в памяти, в формате обычного текста, поэтому в итоге вы получаете все пароли пользователя без хеширования", - пишет Бомонт.
Администраторами уязвимых серверов рекомендуется как можно скорее установить патчи.