gruppi sponsorizzati dallo stato di hacking senza nome stanno sfruttando CVE-2020-0688, una vulnerabilità in server di posta elettronica Microsoft Exchange patch da parte della società nel mese di febbraio 2020 Patch Martedì.
Come parte della routine Patch Martedì, Microsoft ha rilasciato aggiornamenti cumulativi e un service pack per risolvere questo bug di esecuzione di codice in modalità remota che si trova in Microsoft Exchange 2010, 2013, 2016, e 2019.
È degno di nota ricordare che il bug è stato scoperto da un ricercatore anonimo, ed è stato segnalato a Microsoft tramite l'iniziativa di Trend Micro Zero Day. Due settimane dopo, Zero Day ha pubblicato ulteriori informazioni sulla vulnerabilità, anche chiarire che un utente malintenzionato potrebbe sfruttare CVE-2020-0688 a determinate condizioni. rapporto di Zero Day aveva lo scopo di ricercatori di sicurezza aiutare a testare i loro server per creare le regole di rilevamento e preparare mitigazione tecniche. Tuttavia, alcuni del concetto proof-of-create sono state condivise su GitHub, seguito da un modulo Metasploit. Non ci volle molto per gli attori minaccia di sfruttare la ricchezza di dettagli tecnici.
Il primo da segnalare su gruppi di hacker sponsorizzati dallo stato era Volexity, società di sicurezza informatica a Regno Unito. Tuttavia, la società non ha condiviso eventuali specifiche e non ha detto dove gli attacchi provengono da. Tuttavia, è noto che questi gruppi di hacker sono “tutti i grandi giocatori", dice ZDNet.
Di più su CVE-2020-0688
Secondo Microsoft, "una vulnerabilità legata all'esecuzione di codice in modalità remota in Microsoft Exchange Server quando il server non riesce a creare correttamente chiavi univoche al momento dell'installazione. La conoscenza di una chiave di convalida consente a un utente autenticato con una cassetta postale per passare oggetti arbitrari essere deserializzati dall'applicazione web, che viene eseguito come SYSTEM. L'aggiornamento per la protezione risolve la vulnerabilità correggendo come Microsoft Exchange crea le chiavi durante l'installazione."
Per spiegare ulteriormente, sembra che i server Microsoft Exchange non riescono a creare una chiave di crittografia unica per il pannello di controllo di Exchange durante l'installazione. Questo significa anche che tutti i server di posta elettronica Microsoft Exchange rilasciati negli ultimi dieci anni l'uso di chiavi crittografiche identici per backend del pannello di controllo.
Così, Come possono gli aggressori sfruttano la vulnerabilità? Con l'invio di richieste malformate al pannello di controllo di cambio che contengono dati serializzati dannoso. Conoscendo le chiavi di cifratura del pannello di controllo, possono fare i dati serializzati deserializzate, con conseguente esecuzione del codice dannoso sul backend del server.
Se si vuole fare in modo che il server di Exchange non è stato violato, è possibile utilizzare questo TrustedSec esercitazione.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: