Unavngivne statsstøttede hacking grupper udnytter CVE-2020-0688, en sårbarhed i Microsoft Exchange email-servere lappet af selskabet i februar 2020 Patch tirsdag.
Som en del af patch tirsdag rutine, Microsoft frigivet kumulative opdateringer og en servicepakke, der adresserer denne eksterne kodeudførelsesfejl i Microsoft Exchange 2010, 2013, 2016, og 2019.
Det er bemærkelsesværdigt at nævne, at fejlen blev opdaget af en anonym forsker, og blev rapporteret til Microsoft via Trend Micros Zero Day Initiative. To uger senere, Zero Day udgivet mere information om sårbarheden, også præciserer, at en hacker kunne udnytte CVE-2020-0688 under visse betingelser. Zero Day rapport skulle hjælpe sikkerhedseksperter teste deres servere til at skabe regler afsløring og forberede afbødningsteknikker. Men, nogle af de skabte proof-of-concept blev delt på GitHub, efterfulgt af en Metasploit modul. Det tog ikke lang tid for trussel aktører til gearing overflod af tekniske detaljer.
Den første til at rapportere om de statsstøttede hacking grupper var Volexity, en britisk cybersikkerhed firma. Men, firmaet delte ikke nogen specifikke og har ikke sagt, hvor angrebene stammer fra. Men, Det er kendt, at disse grupper af hackere inkluderer ”alle de store spillere", siger ZDNet.
Mere om CVE-2020-0688
Ifølge Microsoft, "en fjernkørsel sårbarhed findes i Microsoft Exchange Server, når serveren ikke korrekt skabe unikke taster på installere tid. Kendskab til et valideringen nøgle giver en autentificeret bruger med en postkasse til at passere vilkårlige objekter, der skal serialiseret af web applikation, der løber som SYSTEM. Sikkerheden opdatering løser det sikkerhedsproblem ved at korrigere hvordan Microsoft Exchange skaber nøglerne under installation."
For at forklare yderligere, ser det ud til, at Microsoft Exchange-servere ikke formår at skabe en unik kryptografisk nøgle til Exchange kontrolpanel under installationen. Det betyder også, at alle Microsoft Exchange-email-servere udgivet i det sidste årti brug identiske krypteringsnøgler for centralens backend.
Så, Hvordan kan angribere udnytte sårbarheden? Ved at sende misdannede anmodninger til Exchange kontrolpanel, som indeholder skadelig føljeton data. Ved at kende den kontrol panelets krypteringsnøgler, de kan foretage de føljeton data unserialized, hvilket resulterer i ondsindet kode kører på serverens backend.
Hvis du vil være sikker på, at din Exchange-server ikke er blevet hacket, du kan bruge denne TrustedSec tutorial.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: