A vulnerabilidade do Microsoft Exchange foi corrigida em fevereiro e foi alvo de vários grupos de ameaças.
Mais de 80% dos servidores exchange expostos ainda estão vulneráveis a uma vulnerabilidade grave – quase dois meses depois que a falha foi corrigida, e depois que os pesquisadores alertaram que vários grupos de ameaças estavam explorando-a.
A vulnerabilidade em questão (CVE-2020-0688) existe no painel de controle do Exchange, servidor de e-mail da Microsoft e servidor de calendário. A falha, que resulta da falha do servidor em criar corretamente chaves exclusivas no momento da instalação, abre servidores para invasores autenticados, que poderiam executar código susceptinto remotamente com privilégios do sistema.
Pesquisadores recentemente usaram o Project Sonar, uma ferramenta de digitalização, para analisar servidores exchange voltados para a internet e farejar quais eram vulneráveis à falha. Dos 433.464 servidores exchange situados na internet observados, pelo menos 357.629 estavam vulneráveis (até 24 de março).
“Se sua organização está usando o Exchange e você não tem certeza se ele foi atualizado, pedimos fortemente que você pule para a seção Taking Action imediatamente”, disse Tom Sellers, gerente da equipe do Rapid7 Labs, em uma análise de segunda-feira.
Embora a falha tenha sido corrigida como parte das atualizações do Patch Tuesday de fevereiro da Microsoft, os pesquisadores alertaram em um aviso de março que servidores não corrigidos estão sendo explorados na natureza por atores de ameaça persistente avançada (APT) não nomeados. Os ataques começaram no final de fevereiro e tiveram como alvo “numerosas organizações afetadas”, disseram os pesquisadores. Eles observaram que os atacantes aproveitam a falha para executar comandos do sistema para realizar o reconhecimento, implantar backdoors webshell e executar frameworks na memória após a exploração.
Brian Gorenc, diretor de pesquisa de vulnerabilidades e chefe do programa ZDI da Trend Micro (que foi creditado com a falha descoberta) disse por e-mail que, embora a vulnerabilidade tenha sido rotulada como “importante” na severidade pela Microsoft, os pesquisadores opinam que ela deve ser tratada como “crítica”.
“É por isso que trabalhamos com a Microsoft para corrigi-lo através de divulgação coordenada, e é por isso que fornecemos aos defensores informações detalhadas sobre isso através do nosso blog”, disse ele. “Achamos que os administradores do Exchange deveriam tratar isso como um patch crítico em vez de importante como rotulado pela Microsoft. Encorajamos todos a aplicar o patch o mais rápido possível para se protegerem dessa vulnerabilidade.”
Os problemas de gerenciamento de patches com servidores Exchange vão além do CVE-2020-0688. Sellers disse que sua investigação revelou que mais de 31.000 servidores do Exchange 2010 não foram atualizados desde 2012. E, há quase 800 servidores do Exchange 2010 que nunca foram atualizados, disse ele.
Sellers pediu aos admins para verificar se uma atualização foi implantada. Ele também disse que os usuários podem determinar se alguém tentou explorar a vulnerabilidade em seu ambiente: “Uma vez que a exploração requer uma conta de usuário do Exchange válida, qualquer conta vinculada a essas tentativas deve ser tratada como comprometida”, disse Sellers.Tom Sellers@TomSellers
If your org uses Microsoft Exchange I *strongly* recommend you make sure the patch for CVE-2020-0688 (Feb 11) is installed.
Unpatched means phished user = SYSTEM on OWA servers.@Rapid7 Project Sonar found at least 357,629 unpatched hosts.
Blog post: https://blog.rapid7.com/2020/04/06/phishing-for-system-on-microsoft-exchange-cve-2020-0688/ …Phishing for SYSTEM on Microsoft Exchange (CVE-2020-0688)As of March 24, there were over 350,000 Microsoft Exchange servers exposing a version of the software with a vulnerability.blog.rapid7.com113Twitter Ads info and privacy83 people are talking about this
“O passo mais importante é determinar se a Exchange foi atualizada”, disse Sellers. “A atualização para o CVE-2020-0688 precisa ser instalada em qualquer servidor com o Painel de Controle de Câmbio (ECP) ativado. Isso normalmente serão servidores com a função CAS (Client Access Server, servidor de acesso ao cliente), que é onde seus usuários acessariam o Outlook Web App (OWA).”
FONTE: THREAT POST