grupos de hackers patrocinados pelo Estado não identificadas estão explorando CVE-2020-0688, uma vulnerabilidade no servidores de e-mail Microsoft Exchange remendado pela empresa em fevereiro 2020 patch Tuesday.
Como parte da rotina de Patch Tuesday, Microsoft lançou atualizações cumulativas e um service pack que aborda esse bug de execução remota de código localizado no Microsoft Exchange 2010, 2013, 2016, e 2019.
É importante mencionar que o bug foi descoberto por um pesquisador anônimo, e foi relatado à Microsoft via Zero Day Initiative da Trend Micro. Duas semanas depois, Dia Zero publicou mais informações sobre a vulnerabilidade, também esclarecer que um intruso poderia explorar CVE-2020-0688, sob certas condições. O relatório de Dia Zero estava destinado a pesquisadores de segurança ajudar a testar os seus servidores para criar regras de detecção e preparar mitigação técnicas. Contudo, alguma da prova de conceito-criado foram compartilhadas no GitHub, seguido por um módulo Metasploit. Não demorou muito para os atores ameaça para alavancar a abundância de detalhes técnicos.
O primeiro a relatar sobre os grupos de hackers patrocinados pelo Estado foi Volexity, empresa de segurança cibernética uma UK. Contudo, a empresa não compartilhar qualquer específicos e não disse onde os ataques se originam de. Contudo, sabe-se que esses grupos de hackers incluem “todos os grandes jogadores”, diz ZDNet.
Mais sobre CVE-2020-0688
De acordo com a Microsoft, “uma vulnerabilidade de execução remota de código no Microsoft Exchange Server quando o servidor não consegue criar adequadamente chaves únicas no momento da instalação. Conhecimento de uma chave de validação permite que um usuário autenticado com uma caixa de correio para passar objetos arbitrários para ser serializado pela aplicação web, que é executado como SYSTEM. A atualização de segurança elimina a vulnerabilidade corrigindo como Microsoft Exchange cria as chaves durante a instalação.”
Para explicar melhor, parece que os servidores Microsoft Exchange não estão a criar uma chave criptográfica única para o painel de controle de câmbio durante a instalação. Isto também significa que todos os servidores de e-mail Microsoft Exchange lançado na última década o uso de chaves criptográficas idênticos para backend do painel de controle.
assim, Como pode atacantes explorar a vulnerabilidade? Enviando pedidos mal formados ao painel de controle do Exchange, que contêm dados serializados malicioso. Ao saber as chaves de criptografia do painel de controle, eles podem tornar os dados serializados desserializados, resultando em código running malicioso no backend do servidor.
Se você quiser ter certeza de que o servidor do Exchange não foi hackeado, você pode usar este TrustedSec tutorial.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: