В феврале 2020 была опубликована первая информация про уязвимость Microsoft Exchange Server (CVE-2020-0688). Проблема содержится в компоненте панели управления Exchange Control Panel (ECP), который включен в конфигурациях по умолчанию, и позволяет злоумышленникам удаленно выполнить код и перехватить контроль над уязвимыми серверами Exchange с использованием любых действительных учетных данных электронной почты.
Эксперты по информационной безопасности компании Rapid7 сообщают, что в настоящее время 247986 (61,10%) из 405873 просканированных Exchange Server содержат опасную уязвимость CVE-2020-0688 и подвержены риску кибератак (версии Exchange 2010, 2013, 2016 и 2019).
При этом 87% из почти 138К серверов Exchange 2016 и 77% из примерно 25К серверов Exchange 2019 содержат уязвимость CVE-2020-0688, а примерно 54К серверов Exchange 2010 и вовсе не обновлялись за последние шесть лет. Также были обнаружены в 16577 серверов Exchange 2007, поддержка которых была прекращена 2017 году.
ИБ-специалисты компании Rapid7 обращают внимание, что выявить взломанные учетные записи достаточно просто – достаточно проверив журналы событий Windows и IIS на предмет частей закодированных полезных данных, включая текст ''Недопустимое состояние просмотра'' или строки __VIEWSTATE и __VIEWSTATEGENERATOR для запросов к пути в /ecp/* (как правило, /ecp/default.aspx).
По информации Microsoft предотвращение эксплуатации уязвимости CVE-2020-0688 возможно только через установку соответствующего патча безопасности, поэтому крайне важно установить его до того момента, как злоумышленники найдут ваш Exchange Server и смогут полностью скомпрометировать сеть.
- 14.12.2020 Опубликован PoC-эксплоит повышения привилегий, актуальный для всех версий Windows
- 06.12.2020 Обнаружен бэкдок, использующийся APT-группой последние 5 лет
- 04.10.2020 Больше половины всех Exchange Server уязвимы к атакам
- 27.09.2020 Шифровальщик AgeLocker атакует хранилища QNAP
- 21.09.2020 День Рождения BACKUPRENT. Нам 7 лет!