В феврале 2020 была опубликована первая информация про уязвимость Microsoft Exchange Server (CVE-2020-0688). Проблема содержится в компоненте панели управления Exchange Control Panel (ECP), который включен в конфигурациях по умолчанию, и позволяет злоумышленникам удаленно выполнить код и перехватить контроль над уязвимыми серверами Exchange с использованием любых действительных учетных данных электронной почты.

Эксперты по информационной безопасности компании Rapid7 сообщают, что в настоящее время 247986 (61,10%) из 405873 просканированных Exchange Server содержат опасную уязвимость CVE-2020-0688 и подвержены риску кибератак (версии Exchange 2010, 2013, 2016 и 2019).

При этом 87% из почти 138К серверов Exchange 2016 и 77% из примерно 25К серверов Exchange 2019 содержат уязвимость CVE-2020-0688, а примерно 54К серверов Exchange 2010 и вовсе не обновлялись за последние шесть лет. Также были обнаружены в 16577 серверов Exchange 2007, поддержка которых была прекращена 2017 году.

ИБ-специалисты компании Rapid7 обращают внимание, что выявить взломанные учетные записи достаточно просто – достаточно проверив журналы событий Windows и IIS на предмет частей закодированных полезных данных, включая текст ''Недопустимое состояние просмотра'' или строки __VIEWSTATE и __VIEWSTATEGENERATOR для запросов к пути в /ecp/* (как правило, /ecp/default.aspx).

По информации Microsoft предотвращение эксплуатации уязвимости CVE-2020-0688 возможно только через установку соответствующего патча безопасности, поэтому крайне важно установить его до того момента, как злоумышленники найдут ваш Exchange Server и смогут полностью скомпрометировать сеть.