В феврале 2020 была опубликована первая информация про уязвимость Microsoft Exchange Server (CVE-2020-0688). Проблема содержится в компоненте панели управления Exchange Control Panel (ECP), который включен в конфигурациях по умолчанию, и позволяет злоумышленникам удаленно выполнить код и перехватить контроль над уязвимыми серверами Exchange с использованием любых действительных учетных данных электронной почты.
Эксперты по информационной безопасности компании Rapid7 сообщают, что в настоящее время 247986 (61,10%) из 405873 просканированных Exchange Server содержат опасную уязвимость CVE-2020-0688 и подвержены риску кибератак (версии Exchange 2010, 2013, 2016 и 2019).
При этом 87% из почти 138К серверов Exchange 2016 и 77% из примерно 25К серверов Exchange 2019 содержат уязвимость CVE-2020-0688, а примерно 54К серверов Exchange 2010 и вовсе не обновлялись за последние шесть лет. Также были обнаружены в 16577 серверов Exchange 2007, поддержка которых была прекращена 2017 году.
ИБ-специалисты компании Rapid7 обращают внимание, что выявить взломанные учетные записи достаточно просто – достаточно проверив журналы событий Windows и IIS на предмет частей закодированных полезных данных, включая текст ''Недопустимое состояние просмотра'' или строки __VIEWSTATE и __VIEWSTATEGENERATOR для запросов к пути в /ecp/* (как правило, /ecp/default.aspx).
По информации Microsoft предотвращение эксплуатации уязвимости CVE-2020-0688 возможно только через установку соответствующего патча безопасности, поэтому крайне важно установить его до того момента, как злоумышленники найдут ваш Exchange Server и смогут полностью скомпрометировать сеть.
- 31.03.2021 Международный день бэкапа – сохранность важных данных всегда актуальна
- 23.03.2021 Вымогатель REvil использует безопасный режим Windows для шифрования файлов
- 18.03.2021 Шифровальщик DearCry эксплуатирует ProxyLogon для заражения Microsoft Exchange
- 11.03.2021 Мартовские обновления безопасности исправляют критическую уязвимость нулевого дня в Internet Explorer
- 09.03.2021 Опубликиван PoC-эксплоит для уязвимости SIGRed