名前のない国が後援するハッキンググループがCVE-2020-0688を悪用しています, 2月に同社がパッチを適用したMicrosoftExchange電子メールサーバーの脆弱性 2020 火曜日のパッチ.
火曜日のパッチルーチンの一部として, マイクロソフト MicrosoftExchangeにあるこのリモートコード実行のバグに対処する累積的な更新とサービスパックをリリースしました 2010, 2013, 2016, と 2019.
バグが匿名の研究者によって発見されたことに言及することは注目に値します, トレンドマイクロのゼロデイイニシアチブを介してマイクロソフトに報告されました. 二週間後, ゼロデイは、脆弱性に関する詳細情報を公開しました, また、攻撃者が特定の条件下でCVE-2020-0688を悪用する可能性があることを明確にする. ゼロデイレポート セキュリティ研究者がサーバーをテストして検出ルールを作成し、軽減手法を準備するのを支援することを目的としていました. でも, 作成された概念実証の一部はGitHubで共有されました, その後にMetasploitモジュールが続きます. 脅威アクターが豊富な技術的詳細を活用するのにそれほど時間はかかりませんでした.
州が後援するハッキンググループについて最初に報告したのはVolexityでした, 英国のサイバーセキュリティ会社. でも, 同社は詳細を共有しておらず、攻撃がどこから発生したのかについても述べていません. でも, これらのハッキンググループには「すべてのビッグプレーヤー」, 言う ZDNet.
CVE-2020-0688の詳細
Microsoftによると, 「「サーバーがインストール時に一意のキーを適切に作成できない場合、MicrosoftExchangeServerにリモートでコードが実行される脆弱性が存在します. 検証キーの知識により、メールボックスを持つ認証されたユーザーは、Webアプリケーションによって逆シリアル化される任意のオブジェクトを渡すことができます, SYSTEMとして実行されます. セキュリティアップデートは、インストール中にMicrosoft Exchangeがキーを作成する方法を修正することにより、脆弱性に対処します.」
さらに説明するには, Microsoft Exchangeサーバーは、インストール中にExchangeコントロールパネルの一意の暗号化キーを作成できなかったようです. これは、過去10年間にリリースされたすべてのMicrosoft Exchange電子メールサーバーが、コントロールパネルのバックエンドに同一の暗号化キーを使用することも意味します。.
そう, 攻撃者はどのようにして脆弱性を悪用できますか? 悪意のあるシリアル化されたデータを含む不正な形式のリクエストをExchangeコントロールパネルに送信する. コントロールパネルの暗号化キーを知ることによって, シリアル化されたデータを非シリアル化することができます, その結果、サーバーのバックエンドで悪意のあるコードが実行されます.
Exchangeサーバーがハッキングされていないことを確認したい場合, あなたはこれを使うことができます TrustedSecチュートリアル.