Mơ Hồ
Moderator
-
24/03/2020
-
11
-
15 bài viết
Hơn 247.000 máy chủ Microsoft Exchange có nguy cơ bị tấn công
Lỗ hổng này tồn tại trong thành phần Exchange Control Panel (ECP) - được cấu hình mặc định - cho phép kẻ tấn chiếm đoạt từ xa các máy chủ Exchange tồn tại lỗ hổng bằng bất kỳ đăng nhập email hợp lệ nào.
Microsoft đã giải quyết vấn đề bảo mật này trong Bản vá định kỳ Patch Tuesday vào tháng 2/2020 và gắn thẻ đánh giá "Rất có thể bị khai thác", cho thấy lỗ hổng này là mục tiêu hấp dẫn đối với giới hacker.
Công ty an ninh mạng Rapid7 đã thêm một mô-đun MS Exchange RCE vào Metasploit vào ngày 4/3, sau khi một số mã khai thác PoC xuất hiện trên GitHub.
Một tuần sau, cả CISA và NSA đều kêu gọi các tổ chức vá lỗ hổng CVE-2020-0688 trên máy chủ của họ ngay vì nhiều nhóm APT đã bắt đầu triển khai các chiến dịch tấn công.
Hơn 61% máy chủ Exchange chưa được cập nhật
Trong bản cập nhật cho báo cáo trước đó về số lượng máy chủ Exchange tồn tại lỗ hổng, Rapid7 đã sử dụng công cụ khảo sát trên Internet - Project Sonar.
Thật đáng kinh ngạc, 61,10% (247,986 trên tổng số 405,873) máy chủ tồn tại lỗ hổng (ví dụ: Exchange 2010, 2013, 2016 và 2019) vẫn chưa được vá và đang bị tấn công.
Các nhà nghiên cứu của công ty này phát hiện 87% trong số gần 138.000 máy chủ Exchange 2016 và 77% trong số khoảng 25.000 máy chủ Exchange 2019 vẫn chưa xử lý lỗ hổng và khoảng 54.000 máy chủ Exchange 2010 "đã không được cập nhật trong sáu năm".
Rapid7 cũng phát hiện 16.577 máy chủ Exchange 2007 có thể truy cập qua Internet, một phiên bản Exchange không được hỗ trợ không nhận được các bản cập nhật.
Cập nhật
Theo Rapid7, "Có hai điều quan trọng mà Quản trị viên Exchange và nhóm infosec cần thực hiện: xác minh việc cập nhật bản vá và kiểm tra các dấu hiệu bị xâm nhập".
Có thể dễ dàng phát hiện các tài khoản bị xâm nhập trong các cuộc tấn công vào máy chủ Exchange bằng cách kiểm tra Windows Event và log IIS để tìm các phần của payload mã hóa bao gồm "Invalid viewstate" hoặc chuỗi __VIEWSTATE và __VIEWSTATEGENERATOR cho các truy vấn đến đường dẫn trong /ecp (thường là /ecp/default.aspx).
Hiện tại, cách duy nhất là cài đặt bản vá cho máy chủ Exchange trước khi những kẻ tấn công tìm thấy chúng và xâm nhập vào toàn bộ mạng - trừ khi quản trị viên có thời gian và sẵn sàng đặt lại mật khẩu của tất cả các tài khoản khiến cho thông tin đăng nhập bị đánh cắp trước đó trở nên vô giá trị.
Link download các bản cập nhật bảo mật để vá các máy chủ Microsoft Exchange tồn tại lỗ hổng và các bài viết khuyến cáo liên quan được liệt kê trong bảng dưới đây:
| Product | Article | Download |
Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30 | 4536989 | Security Update |
Microsoft Exchange Server 2013 Cumulative Update 23 | 4536988 | Security Update |
| Microsoft Exchange Server 2016 Cumulative Update 14 | 4536987 | Security Update |
| Microsoft Exchange Server 2016 Cumulative Update 15 | 4536987 | Security Update |
| Microsoft Exchange Server 2019 Cumulative Update 3 | 4536987 | Security Update |
| Microsoft Exchange Server 2019 Cumulative Update 4 | 4536987 | Security Update |
Nguồn: BleepingComputer