1
0
A vulnerabilidade CVE-2020-0688 reside no componente ECP (Exchange Control Panel, painel de controle de troca), a causa principal do problema é que os servidores Exchange não conseguem criar chaves exclusivas corretamente no momento da instalação.
“O conhecimento de uma chave de validação permite que um usuário autenticado com uma caixa de correio passe objetos arbitrários para ser deserializado pelo aplicativo web, que funciona como SYSTEM.” lê-se no aviso publicado pela Microsoft.
Um invasor remoto e autenticado poderia explorar a vulnerabilidade CVE-2020-0688 para executar código arbitrário com privilégios do SISTEMA em um servidor e assumir controle total.
Os especialistas em segurança Simon Zuckerbraun, da Zero Day Initiative, publicaram detalhes técnicos sobre como explorar o Microsoft Exchange CVE-2020-0688, juntamente com um PoC de vídeo.
A Microsoft abordou a vulnerabilidade com o lançamento das atualizações do Microsoft February Patch Tuesday,mas mais de 247.000 servidores do Microsoft Exchange (61% dos servidores do Exchange) ainda não foram corrigidos.
A Rapid7 informou que 87% dos quase 138.000 servidores do Exchange 2016 e 77% dos cerca de 25.000 servidores do Exchange 2019 ainda são vulneráveis aos ataques do CVE-2020-0688 e cerca de 54.000 servidores do Exchange 2010 não foram atualizados em seis anos.
Depois que a Microsoft abordou a falha, especialistas teriam observado que os atores da APT exploravam a falha.
Pesquisadores da Rapid7 relataram que 61% dos servidores do Exchange 2010, 2013, 2016 e 2019 ainda estão vulneráveis à vulnerabilidade.
“Faz pouco menos de oito meses que a Microsoft lançou os patches para abordar o CVE-2020-0688, então achamos que seria um bom momento para revisitar a implantação de patches para ver se as organizações abordaram esse risco em particular”, explicou Tom Sellers com rapid7 em um post no blog. “Infelizmente, a partir do nosso estudo de 21 de setembro de 2020, parece que 61% da população-alvo (Intercâmbio 2010, 2013, 2016 e 2019) ainda está vulnerável à exploração.”
Em março, pesquisadores da empresa de cibersegurança Volexity alertaram para atores do estado-nação que estavam tentando explorar a falha do CVE-2020-0688.
Especialistas reccomentam para determinar se o Exchange foi atualizado e instalar a atualização em qualquer servidor com o Painel de Controle de Troca (ECP) ativado.
“O método mais confiável para determinar se a atualização está instalada é verificando o software de gerenciamento de patches, as ferramentas de gerenciamento de vulnerabilidades ou os próprios hosts para determinar se a atualização apropriada foi instalada.” continua o post.” Observe que essas ferramentas provavelmente não indicarão que a atualização está faltando se o Servidor de Exchange não estiver executando uma versão atual da Atualização Cumulativa do Exchange ou Rollup. Esses servidores ainda estão vulneráveis.”
De acordo com os especialistas, os administradores poderiam verificar a presença de contas comprometidas usadas em ataques contra servidores do Exchange, revisando os registros do Windows Event e do IIS para partes de cargas codificadas, incluindo o texto “Estado de exibição inválido” ou o __VIEWSTATE e __VIEWSTATEGENERATOR de strings para solicitações a um caminho sob /ecp (geralmente /ecp/default.aspx).
Não perca tempo, verifique se sua instalação está atualizada.
FONTE: SECURITY AFFAIRS