ГлавнаябезопасностьСерверы Microsoft Exchange: правительственные хакерские команды используют эту ошибку!

Серверы Microsoft Exchange: правительственные хакерские команды используют эту ошибку!

Многочисленные группы, поддерживаемые государством, используют уязвимость в недавно выпущенных исправлениях серверов электронной почты Microsoft Exchange.

Усилия по эксплуатации были впервые определены компанией Volexity которая имеет дело с кибербезопасностью на основе Великобритания в пятницу и подтвердил сегодня ZDNet из источника.

Volexity не раскрывает имена хакерских групп, эксплуатирующих эту уязвимость Exchange. Источник описал хакерские команды как «всех крупных игроков», но отказался назвать команды или страны.

Уязвимость биржи Microsoft

Эти группы поддержки правительства используют уязвимость почтовых серверов Microsoft Exchange, которую Microsoft обновила в прошлом месяце.

Уязвимость отслеживается с помощью идентификатора CVE-2020-0688. Ниже приведено краткое описание технических деталей уязвимости:

  • Во время установки серверам Microsoft Exchange не удается создать уникальный криптографический ключ для панели управления Exchange.
  • Это означает, что все почтовые серверы Microsoft Exchange, выпущенные за последние 10 лет, используют идентичные криптографические ключи (validationKey и decryptionKey) для своей внутренней панели управления.
  • Злоумышленники могут отправлять искаженные запросы на панель управления Exchange, содержащие вредоносные последовательные данные.
  • Поскольку хакеры знают ключи шифрования панели управления, они могут гарантировать, что последовательные данные не являются необработанными, что приведет к вредоносному коду на серверном сервере Exchange.
  • Вредоносный код выполняется с разрешениями SYSTEM, предоставляя злоумышленникам полный контроль над сервером.

Microsoft выпустила исправления для этой ошибки 11 февраля, когда она также предупредила системных администраторов об установке исправлений как можно скорее, предсказывая будущее нападки.

Ничего не происходило почти две недели. Однако ситуация обострилась ближе к концу месяца, когда Инициатива Zero-Day, которая сообщила об ошибке в Microsoft, опубликовала технический отчет с подробным описанием ошибки и ее работой.

Отчет послужил дорожной картой для исследователей в области безопасности, которые использовали содержащуюся в нем информацию для проведения судебно-медицинских экспертиз. методыпоэтому они могут тестировать свои собственные серверы, создавать правила сканирования и готовить меры по снижению риска.

По крайней мере три из этих доказательств были найдены на GitHub [1, 2, 3]. Вскоре последовало подразделение Metasploit.

Как и во многих других случаях, когда технические детали и код были обнародованы, хакеры также начали обращать внимание.

26 февраля, на следующий день после запуска отчета «Инициатива нулевого дня», хакерские команды начали сканирование Интернета на наличие серверов Exchange, составляя списки уязвимых серверов, которые впоследствии могут быть направлены. Первые сканы такого типа были обнаружены Intel Bad Packets.

Теперь, согласно Volexity, сканирование серверов Exchange превратилось в реальные атаки.

Первыми, кто использовал эту ошибку, были APT, термин, часто используемый для описания финансируемых государством хакерских групп.

Тем не менее, другие группы также должны последовать их примеру. Исследователи безопасности говорят, что ожидают, что ошибка станет очень популярной в бандах вымогателей нацеливание на обычные сети бизнес.
Однако эту уязвимость Exchange не так просто использовать. Эксперты по безопасности не видят эту ошибку скомпрометированной детишками сценариев (термин, используемый для описания низкоуровневых, неквалифицированных хакеров).

Чтобы воспользоваться ошибкой Exchange CVE-2020-0688, хакерам нужны учетные данные электронной почты Exchange - чего у скриптовых детей обычно нет.

Ошибка безопасности CVE-2020-0688 является впоследствии так называемой ошибкой идентификация, Хакеры должны сначала войти в систему, а затем выполнить вредоносную полезную нагрузку, которая захватывает почтовый сервер жертвы.

Но хотя это ограничение будет держать детские сценарии подальше, оно не будет держать их АСТ и банды вымогателей, эксперты сказали.

Банды APT и вымогателей часто проводят большую часть своего времени, запуская фишинговые кампании (фишинг), с помощью которого они получают учетные данные электронной почты сотрудников компании.

Если организация устанавливает двухфакторную аутентификацию (2FA) для учетных записей электронной почты, эти учетные данные по существу бесполезны, поскольку хакеры не могут обойти 2FA.

Ошибка CVE-2020-0688 позволяет APT наконец найти цель для старых учетных записей, защищенных 2FA, которые были удалены несколько месяцев или лет назад.

Они могут использовать любые из этих старых учетных данных, не обходя 2FA, но даже могут управлять своим сервером Exchange. жертва.

Организациям, у которых есть «APT» или «программы-вымогатели» в матрице угроз, рекомендуется как можно скорее обновить свои почтовые серверы Exchange с помощью обновлений безопасности от февраля 2020 года.

Взлом серверов электронной почты является наиболее важным моментом атак APT, поскольку он позволяет им отслеживать и читать  связь по электронной почте компании.

Этот пост от TrustedSec содержит инструкции по обнаружению сервера Exchange, который уже был взломан с помощью этой ошибки.

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ