Według najnowszych badań działającej w branży cyberbezpieczeństwa firmy Rapid7, 61% serwerów Microsoft Exchange (2010, 2013, 2016 i 2019) nadal posiada lukę CVE-2020-0688, umożliwiającą zdalne uruchamianie złośliwego kodu w systemie ofiary z poziomu sieci lokalnej bądź Internetu. I to pomimo wydanej niemal osiem miesięcy temu aktualizacji.
Luka CVE-2020-0688 znajduje się w komponencie Exchange Control Panel (ECP) i umożliwia napastnikom zdalne przejęcie serwerów Exchange za pomocą danych logowania do konta e-mail. 11 lutego tego roku Microsoft zamieścił informację o wspomnianej luce w ramach comiesięcznego „Patch Tuesday”, informując o wykorzystaniu tej podatności przez exploity jako „bardzo prawdopodobne”.
Z kolei w marcu Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) oraz NSA (National Academy of Sciences) ostrzegły administratorów sieci, że niezałatane serwery stały się obiektem ataków ukierunkowanych APT. Napastnicy wykorzystują lukę do uruchamiana poleceń systemowych w celu przeprowadzenia rekonesansu i wprowadzenia backdoora Web Shell, który umożliwia hakerowi dostęp do powłoki systemowej atakowanego serwera – tłumaczą specjaliści.
W kwietniu firma Rapid7 opublikowała wyniki badań, z których wynikało, że ponad 80% serwerów Exchange wciąż było podatnych na ataki (357 tys. spośród 433 tys. posiadało lukę). Autorzy wykorzystali narzędzie Project Sonar służące do analizy serwerów Exchange połączonych z Internetem. Co gorsza, w ciągu ostatnich kilku miesięcy sytuacja nie ulegała zasadniczej poprawie. Na uwagę zasługuje także fakt, iż 54 tys. serwerów Exchange 2010 nie było aktualizowanych od sześciu lat.
„Dane przedstawione przez Rapid7 są bardzo niepokojące, tym bardziej, że jednym z największych zagrożeń dla firm są właśnie luki w systemach operacyjnych i zainstalowanych programach. Dlatego tak ważne jest instalowanie łatek publikowanych przez producenta oprogramowania. Szczególnie w tym zakresie przydatne są narzędzia do zarządzania uaktualnieniami oferowane przez niektóre aplikacje bezpieczeństwa” – tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender. „Administratorzy serwerów Exchange powinni zweryfikować przeprowadzone do tej pory aktualizacje oraz sprawdzić oznaki naruszenia bezpieczeństwa” – podsumowuje.
Narażone konta, które są wykorzystywane w atakach na serwery Exchange można łatwo wykryć, sprawdzając dzienniki zdarzeń systemu Windows i IIS pod kątem części zakodowanych ładunków, w tym tekstu „Invalid viewstate” lub ciągów __VIEWSTATE i __VIEWSTATEGENERATOR dla żądań do ścieżki w / ecp (zwykle / ecp / default.aspx)
