grupos de piratas informáticos patrocinados por el estado sin nombre están explotando CVE-2020 a 0.688, una vulnerabilidad en servidores de correo electrónico de Microsoft Exchange parcheado por la compañía en febrero 2020 Martes de parches.
Como parte de la rutina martes de parches, Microsoft lanzó actualizaciones acumulativas y un paquete de servicio que aborda este error de ejecución de código remoto ubicado en Microsoft Exchange 2010, 2013, 2016, y 2019.
Es digno de mención que el error fue descubierto por un investigador anónimo, y se informó a Microsoft a través de Zero Day Initiative de Trend Micro. Dos semanas después, Día Cero publicó más información acerca de la vulnerabilidad, también aclarar que un atacante podría aprovechar CVE-2020-0688 bajo ciertas condiciones. El informe de Día Cero estaba destinado a los investigadores de seguridad ayudar a probar sus servidores para crear reglas de detección y mitigación preparar técnicas. Sin embargo, algunos de la prueba de concepto creados fueron compartidos en GitHub, seguido de un módulo de Metasploit. No pasó mucho tiempo para que los agentes de amenaza para aprovechar la abundancia de detalles técnicos.
El primero en informar acerca de los grupos de piratas informáticos patrocinados por el estado era Volexity, firma de seguridad cibernética de un Reino Unido. Sin embargo, la empresa no ha dado ningún detalle y no ha dicho, donde los ataques se originan a partir. Sin embargo, se sabe que estos grupos de piratas informáticos incluyen “todos los grandes jugadores", dice ZDNet.
Más sobre CVE-2020-0688
Según Microsoft, "Existe una vulnerabilidad de ejecución remota de código en Microsoft Exchange Server cuando el servidor no puede crear correctamente las claves únicas en el momento de la instalación. El conocimiento de una tecla de validación permite a un usuario autenticado con un buzón de correo para pasar objetos arbitrarios para ser deserializado por la aplicación web, que se ejecuta como SYSTEM. La actualización de seguridad corrige la vulnerabilidad al modificar la forma en Microsoft Exchange crea las claves durante la instalación."
Para explicar mejor, parece que los servidores Microsoft Exchange están fallando para crear una clave criptográfica única para el panel de control de Exchange durante la instalación. Esto también significa que todos los servidores de correo electrónico de Microsoft Exchange a conocer en la última década el uso de claves criptográficas idénticos backend del panel de control.
Así, cómo los atacantes pueden explotar la vulnerabilidad? Mediante el envío de solicitudes con formato incorrecto al panel de control de cambio, que contiene datos serializados malicioso. Al conocer las claves de cifrado del panel de control, que pueden hacer que los datos serializados decodificado, lo que resulta en código malicioso en ejecución en el servidor back-end de.
Si desea asegurarse de que el servidor de Exchange no ha sido hackeado, se puede utilizar este TrustedSec tutorial.