Hơn 247.000 máy chủ Microsoft Exchange có nguy cơ bị tấn công

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi Mơ Hồ, 30/09/20, 04:09 PM.

  1. Mơ Hồ

    Mơ Hồ Moderator Thành viên BQT

    Tham gia: 24/03/20, 12:03 PM
    Bài viết: 13
    Đã được thích: 8
    Điểm thành tích:
    3
    upload_2020-9-30_16-18-47.png
    Hơn 247.000 máy chủ Microsoft Exchange vẫn chưa cập nhật bản vá lỗ hổng thực thi mã từ xa CVE-2020-0688 ảnh hưởng đến tất cả các phiên bản Exchange Server.

    Lỗ hổng này tồn tại trong thành phần Exchange Control Panel (ECP) - được cấu hình mặc định - cho phép kẻ tấn chiếm đoạt từ xa các máy chủ Exchange tồn tại lỗ hổng bằng bất kỳ đăng nhập email hợp lệ nào.

    Microsoft đã giải quyết vấn đề bảo mật này trong Bản vá định kỳ Patch Tuesday vào tháng 2/2020 và gắn thẻ đánh giá "Rất có thể bị khai thác", cho thấy lỗ hổng này là mục tiêu hấp dẫn đối với giới hacker.

    Công ty an ninh mạng Rapid7 đã thêm một mô-đun MS Exchange RCE vào Metasploit vào ngày 4/3, sau khi một số mã khai thác PoC xuất hiện trên GitHub.

    Một tuần sau, cả CISANSA đều kêu gọi các tổ chức vá lỗ hổng CVE-2020-0688 trên máy chủ của họ ngay vì nhiều nhóm APT đã bắt đầu triển khai các chiến dịch tấn công.

    Hơn 61% máy chủ Exchange chưa được cập nhật

    Trong bản cập nhật cho báo cáo trước đó về số lượng máy chủ Exchange tồn tại lỗ hổng, Rapid7 đã sử dụng công cụ khảo sát trên Internet - Project Sonar.

    Thật đáng kinh ngạc, 61,10% (247,986 trên tổng số 405,873) máy chủ tồn tại lỗ hổng (ví dụ: Exchange 2010, 2013, 2016 và 2019) vẫn chưa được vá và đang bị tấn công.

    Các nhà nghiên cứu của công ty này phát hiện 87% trong số gần 138.000 máy chủ Exchange 2016 và 77% trong số khoảng 25.000 máy chủ Exchange 2019 vẫn chưa xử lý lỗ hổng và khoảng 54.000 máy chủ Exchange 2010 "đã không được cập nhật trong sáu năm".

    Rapid7 cũng phát hiện 16.577 máy chủ Exchange 2007 có thể truy cập qua Internet, một phiên bản Exchange không được hỗ trợ không nhận được các bản cập nhật.
    upload_2020-9-30_16-20-8.png


    Cập nhật

    Theo Rapid7, "Có hai điều quan trọng mà Quản trị viên Exchange và nhóm infosec cần thực hiện: xác minh việc cập nhật bản vá và kiểm tra các dấu hiệu bị xâm nhập".

    Có thể dễ dàng phát hiện các tài khoản bị xâm nhập trong các cuộc tấn công vào máy chủ Exchange bằng cách kiểm tra Windows Event và log IIS để tìm các phần của payload mã hóa bao gồm "Invalid viewstate" hoặc chuỗi __VIEWSTATE và __VIEWSTATEGENERATOR cho các truy vấn đến đường dẫn trong /ecp (thường là /ecp/default.aspx).

    Hiện tại, cách duy nhất là cài đặt bản vá cho máy chủ Exchange trước khi những kẻ tấn công tìm thấy chúng và xâm nhập vào toàn bộ mạng - trừ khi quản trị viên có thời gian và sẵn sàng đặt lại mật khẩu của tất cả các tài khoản khiến cho thông tin đăng nhập bị đánh cắp trước đó trở nên vô giá trị.

    Link download các bản cập nhật bảo mật để vá các máy chủ Microsoft Exchange tồn tại lỗ hổng và các bài viết khuyến cáo liên quan được liệt kê trong bảng dưới đây:
    ProductArticleDownload

    Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
    4536989Security Update

    Microsoft Exchange Server 2013 Cumulative Update 23
    4536988Security Update
    Microsoft Exchange Server 2016 Cumulative Update 144536987Security Update
    Microsoft Exchange Server 2016 Cumulative Update 154536987Security Update
    Microsoft Exchange Server 2019 Cumulative Update 34536987Security Update
    Microsoft Exchange Server 2019 Cumulative Update 44536987Security Update

    Nguồn: BleepingComputer
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    poseidon thích bài này.