Groupes de piratage anonymes parrainé par l'État exploitent CVE-2020-0688, une vulnérabilité dans les serveurs de messagerie Microsoft Exchange patché par la société en Février 2020 Patch Tuesday.
Dans le cadre de la routine Patch Tuesday, Microsoft publié des mises à jour cumulatives et un service pack corrigeant ce bogue d'exécution de code à distance situé dans Microsoft Exchange 2010, 2013, 2016, et 2019.
Il convient de mentionner que le bogue a été découvert par un chercheur anonyme, et a été signalé à Microsoft via l'initiative Zero Day Trend Micro. Deux semaines plus tard, Zero Day a publié plus d'informations sur la vulnérabilité, précisant également qu'un attaquant pourrait exploiter CVE-2020-0688 sous certaines conditions. Le rapport de Zero Day était destiné à aider les chercheurs à tester la sécurité de leurs serveurs pour créer des règles de détection et de préparer des techniques d'atténuation. Cependant, certains des créé preuve de concept ont été partagés sur GitHub, suivi d'un module Metasploit. Il n'a pas fallu longtemps pour que les acteurs de la menace à l'effet de levier de l'abondance des détails techniques.
Le premier à faire rapport sur les groupes de hacking État parrainé était Volexity, une société britannique de sécurité cybernétique. Cependant, l'entreprise ne partageait pas les détails et n'a pas dit où les attaques proviennent de. Cependant, on sait que ces groupes comprennent hacking «tous les grands joueurs", dit ZDNet.
En savoir plus sur CVE-2020-0688
Selon Microsoft, "une vulnérabilité d'exécution de code à distance existe dans Microsoft Exchange Server lorsque le serveur ne parvient pas à créer correctement des clés uniques lors de l'installation. La connaissance d'une la touche de validation permet à un utilisateur authentifié avec une boîte aux lettres pour passer des objets arbitraires à désérialisée par l'application Web, qui fonctionne en tant que SYSTEM. La mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Microsoft Exchange crée les clés lors de l'installation."
Pour expliquer davantage, il semble que les serveurs Microsoft Exchange ne parviennent pas à créer une clé cryptographique unique pour le panneau de commande d'échange lors de l'installation. Cela signifie aussi que tous les serveurs de messagerie Microsoft Exchange libérés dans l'utilisation dernière décennie clés cryptographiques identiques pour le back-end du panneau de commande.
Si, comment les attaquants peuvent exploiter la vulnérabilité? En envoyant des requêtes malformées au panneau de contrôle des changes qui contiennent des données sérialisé malveillants. En connaissant les clés de chiffrement du panneau de commande, ils peuvent rendre les données sérialisé désérialisé, entraînant un code malveillant sur le fonctionnement du serveur back-end.
Si vous voulez vous assurer que votre serveur Exchange n'a pas été piraté, vous pouvez utiliser TrustedSec tutoriel.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: