超过350,000个Microsoft Exchange Server易受CVE-2020-0688的攻击

多年来，修补和修补安全漏洞的补丁一直是IT领域中最棘手的问题之一。而且，如果备份使情况变得更好（尽管有关不进行或已经进行备份的系统管理员的轶事在很长一段时间内都具有重要意义），那么一切都会令安全性感到悲伤。Garmin的故事再次证明了这一点。



剩余的资金，“机会”的希望和其他因素导致定期的泄漏和黑客攻击。但是事情仍然存在。Cloud4Y不止一次分享了有关安全漏洞和黑客的有趣故事。这是另一个故事，它只能证实公司在数据安全这一看似重要的问题上的惯性。

问题是什么

早在2020年2月，Microsoft就修补了影响Microsoft Exchange服务器的CVE-2020-0688漏洞。此安全漏洞存在于Exchange控制面板（ECP）组件中，它使攻击者可以使用以前盗用的任何有效电子邮件凭据来劫持易受攻击的Microsoft Exchange服务器。为了强调此问题的重要性，该公司添加了“ Explo可能性更容易利用”漏洞标志“极有可能利用”，这表明该漏洞是攻击者有吸引力的目标。



一个危险的错误与ECP组件的工作有关。 Exchange无法在安装过程中创建唯一的加密密钥，这使经过身份验证阶段的攻击者能够使用SYSTEM特权远程执行任意代码，并完全破坏易受攻击的服务器。



顺便说一句，认证阶段本身也不是问题。攻击者可以使用工具通过LinkedIn来收集有关公司员工的信息。然后针对Outlook Web Access（OWA）和ECP使用收集的信息以及凭据填充。



2月，安全专家警告说，他们正在积极扫描网络中是否有易受攻击的Microsoft Exchange服务器。为了进行攻击，他们所要做的就是找到易受攻击的服务器，找到可以从OWA Web客户端URL获得的电子邮件地址，或者从以前的泄漏中收集数据。如果攻击者能够导航到Exchange服务器，则他们可能泄露或欺骗公司电子邮件。



两家西方信息安全机构NSA和CISA也发出警告，呼吁尽早安装CVE-2020-0688补丁，理由是黑客团体利用了此漏洞。

煮沸了，忘了

但是，经常发生的是，不仅每个人（c）都对宣传大加关注。大多数公司都忽略了威胁。几个月后，网络安全公司Rapid7使用他们的Project Sonar网络工具发现了Internet上的所有公共Exchange服务器。结果非常令人遗憾。



他们发现，在433,464台Exchange服务器中，至少有357,629（82.5％）个仍在接受利用CVE-2020-0688漏洞的攻击。



Rapid7标记为可防御攻击的某些服务器可能仍然容易受到攻击，因为Microsoft补丁程序并未更新所有操作系统版本。但这还不是全部。研究人员发现，将有近11,000台使用支持终止（EoS）软件运行Microsoft Exchange 2007的服务器（已于2017年终止支持）以及166,000台运行Microsoft Exchange 2010的服务器（将于2020年10月终止支持）。锦上添花的是，有近31000台Microsoft Exchange 2010服务器连接到Internet的信息，自2012年以来从未进行过更新，其中800台从未进行过更新。

我们稍后将决定应归咎于谁。该怎么办？

以友好的方式，不仅需要安装补丁，而且还需要确定攻击者是否尝试利用此漏洞。由于攻击者必须控制至少一个帐户才能执行此操作，因此任何与企图利用相关的帐户都必须视为已被黑客入侵。



通过检查Windows和IIS事件日志中是否有经过编码的有效负载，可以检测到用于攻击Exchange服务器的受损用户帐户，包括路径中的查询请求中的文本“ Invalid viewstate”或字符串“ __VIEWSTATE”和“ __VIEWSTATEGENERATOR” / ecp目录。



唯一有意义的出路是在黑客发现补丁之前，先在服务器上安装补丁，然后完全破坏整个网络。否则，可能有必要更改所有被盗的用户帐户和密码。



下表提供了受影响的Microsoft Exchange Server版本的安全更新下载链接以及相关的知识库文章：





不要忘记安全。补丁发布几个月后缺乏保护，这非常令人难过。



您还可以在Cloud4Y博客中阅读什么其他有用的内容



→人工智能唱着革命

→宇宙的几何形状是什么？

→我们需要太空中的云彩吗？

→瑞士地形图上的复活节彩蛋

→初创企业竞赛的获胜者2020年欧洲大奖赛请



订阅我们的Telegram频道，以免错过其他文章。我们每周写不超过两次，并且仅在商务上写。顺便说一下，我们最近举行了一个网络研讨会，为IT项目计算总拥有成本，我们回答了紧迫的问题。如果您有兴趣-惠康！