Hakeri skeniraju ranjive Microsoft Exchange servere, primenite patch odmah!
Ne postoji mitigacija ili workaround, već je potrebno instalirati bezbednosna ažuriranja.
Napadači aktivno skeniraju internet u potrazi za Microsoft Exchange serverima koji nisu primenili patch za RCE ranjivost CVE-2020-0688. Patch je dostupan već 2 nedelje. Sve verzije Exchange servera (i aktuelne i legacy) su podložne napadima koji će najverovatnije uslediti nakon skeniranja. Ranjivost se nalazi u Exchange Control Panel (ECP) komponenti, zbog nje Exchange ne može da kreira jedinstvene kriptografske ključeve pri instaliranju. Uspešna eksploatacija daje autentifikovanim napadačima mogućnost da sa udaljene lokacije izvrše kod sa sistemskim privilegijama na eksploatisanom serveru, odnosno da ga u potpunosti kompromituju.
Video demonstracija preuzimanja Exchange servera
Simon Zuckerbraun je objavio demo eksploatacije CVE-2020-0688 ranjivosti i kako da se fiksni kriptografski ključevi iskoriste za napad na ranjivi server. Napadač koji je kompromitovao uređaj ili kredencijale bilo kog korisnika u kompaniji može da preuzme kontrolu nad Exchange serverom, a to dalje znači da može da špijunira ili falsifikuje email komunikaciju. Ukoliko ste Exchange administrator, morate ovu ranjivost tretirati kao kritičnu (iako ju je Microsoft označio samo kao „važnu“) i da u najkraćem roku instalirate patch.
Na Youtube linku možete pogledati video demonstraciju preuzimanja ranjivog Exchange servera.
Posebna opasnost kod ove ranjivosti je to što ukoliko napadač (u ili van kompanije) dođe do kredencijala bilo kog korisnika, nejverovatnije će dobiti momentalni pristup i mogućnost da preuzme kontrolu nad Exchange serverom. Razlog je to što gotovo svi korisnici u organizaciji imaju Exchange mailbox i mogu da se autentifikuju na server. Nije bitno koji nivo privilegija korisnik ima, napadačima je za uspešnu eksploataciju dovoljna samo autentifikacija.
Za eksploatisanje ranjivosti napadači moraju da pronađu ranjive servere koji su dostupni na internetu, pretraže email adrese koje prikupljaju preko Outlook Web Access (OWA) portal URL-a i pronađu relevantne dump-ove iz ranijih Data Breach napada. Zatim, potrebno je da lansiraju credential stuffing napad koji je aktivan dok ne pronađu poklapanje i uloguju se na server. Kad uđu unutra, ostaje samo da eksploatišu ranjivost i potpuno kompromituju Exhchange server.
Credential stuffing je sajber napad u kome napadač koristi kredencijale iz data breach napada na jedan servis kako bi pokušao da se uloguje na drugi, nepovezani servis.
Ispod možete pogledati opise i preuzeti bezbednosna ažuriranja za sve podržane Microsoft Exchange verzije:
Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30 --> Opis | Preuzmite ažuriranje
Microsoft Exchange Server 2013 Cumulative Update 23 --> Opis | Preuzmite ažuriranje
Microsoft Exchange Server 2016 Cumulative Update 14 --> Opis | Preuzmite ažuriranje
Microsoft Exchange Server 2016 Cumulative Update 15 --> Opis | Preuzmite ažuriranje
Microsoft Exchange Server 2019 Cumulative Update 3 --> Opis | Preuzmite ažuriranje
Microsoft Exchange Server 2019 Cumulative Update 4 --> Opis | Preuzmite ažuriranje
Nakon skeniranja uvek slede napadi
Postoje open-source alati koji preko stranice kompanije na Linkedinu izlistaju imena svih zaposlenih, a onda „zakucaju“ Outlook Web aplikaciju pokušajima autentifikacije putem credential stuffinga. Ovi alati se koriste u aktivnim napadima kako bi napadač dobio OWA i ECP pristup. Takođe, napadači koriste Mimikatz post-eksploatacijski alat da dođu do lozinki svih korisnika s obzirom da Exchange čuva kredencijale korisnika u memoriji u otvorenom tekstu bez kriptovanja.
Izvor: Bleeping Computer