Суббота, 28 ноября, 01:38
дома безопасность Серверы Microsoft Exchange: правительственные хакерские команды используют эту ошибку!

Серверы Microsoft Exchange: правительственные хакерские команды используют эту ошибку!

Многочисленные группы, поддерживаемые государством, используют уязвимость в недавно выпущенных исправлениях серверов электронной почты Microsoft Exchange.

Усилия по эксплуатации были впервые определены компанией Volexity которая имеет дело с кибербезопасностью на основе Великобритания в пятницу и подтвердил сегодня ZDNet из источника.

Volexity не раскрывает имена хакерских групп, эксплуатирующих эту уязвимость Exchange. Источник описал хакерские команды как «всех крупных игроков», но отказался назвать команды или страны.

Уязвимость биржи Microsoft

Эти группы поддержки правительства используют уязвимость почтовых серверов Microsoft Exchange, которую Microsoft обновила в прошлом месяце.

Уязвимость отслеживается с помощью идентификатора CVE-2020-0688. Ниже приведено краткое описание технических деталей уязвимости:

  • Во время установки серверам Microsoft Exchange не удается создать уникальный криптографический ключ для панели управления Exchange.
  • Это означает, что все почтовые серверы Microsoft Exchange, выпущенные за последние 10 лет, используют идентичные криптографические ключи (validationKey и decryptionKey) для своей внутренней панели управления.
  • Злоумышленники могут отправлять искаженные запросы на панель управления Exchange, содержащие вредоносные последовательные данные.
  • Поскольку хакеры знают ключи шифрования панели управления, они могут гарантировать, что последовательные данные не являются необработанными, что приведет к вредоносному коду на серверном сервере Exchange.
  • Вредоносный код выполняется с разрешениями SYSTEM, предоставляя злоумышленникам полный контроль над сервером.

Microsoft выпустила исправления для этой ошибки 11 февраля, когда она также предупредила системных администраторов об установке исправлений как можно скорее, предсказывая будущее нападки.

Ничего не происходило почти две недели. Однако ситуация обострилась ближе к концу месяца, когда Инициатива Zero-Day, которая сообщила об ошибке в Microsoft, опубликовала технический отчет с подробным описанием ошибки и ее работой.

Отчет послужил дорожной картой для исследователей в области безопасности, которые использовали содержащуюся в нем информацию для проведения судебно-медицинских экспертиз. методыпоэтому они могут тестировать свои собственные серверы, создавать правила сканирования и готовить меры по снижению риска.

По крайней мере три из этих доказательств были найдены на GitHub [1, 2, 3]. Вскоре последовало подразделение Metasploit.

Как и во многих других случаях, когда технические детали и код были обнародованы, хакеры также начали обращать внимание.

26 февраля, на следующий день после запуска отчета «Инициатива нулевого дня», хакерские команды начали сканирование Интернета на наличие серверов Exchange, составляя списки уязвимых серверов, которые впоследствии могут быть направлены. Первые сканы такого типа были обнаружены Intel Bad Packets.

Теперь, согласно Volexity, сканирование серверов Exchange превратилось в реальные атаки.

Первыми, кто использовал эту ошибку, были APT, термин, часто используемый для описания финансируемых государством хакерских групп.

Тем не менее, другие группы также должны последовать их примеру. Исследователи безопасности говорят, что ожидают, что ошибка станет очень популярной в бандах вымогателей нацеливание на обычные сети бизнес.
Однако эту уязвимость Exchange не так просто использовать. Эксперты по безопасности не видят эту ошибку скомпрометированной детишками сценариев (термин, используемый для описания низкоуровневых, неквалифицированных хакеров).

Чтобы воспользоваться ошибкой Exchange CVE-2020-0688, хакерам нужны учетные данные электронной почты Exchange - чего у скриптовых детей обычно нет.

Ошибка безопасности CVE-2020-0688 является впоследствии так называемой ошибкой идентификация, Хакеры должны сначала войти в систему, а затем выполнить вредоносную полезную нагрузку, которая захватывает почтовый сервер жертвы.

Но хотя это ограничение будет держать детские сценарии подальше, оно не будет держать их АСТ и банды вымогателей, эксперты сказали.

Банды APT и вымогателей часто проводят большую часть своего времени, запуская фишинговые кампании (фишинг), с помощью которого они получают учетные данные электронной почты сотрудников компании.

Если организация устанавливает двухфакторную аутентификацию (2FA) для учетных записей электронной почты, эти учетные данные по существу бесполезны, поскольку хакеры не могут обойти 2FA.

Ошибка CVE-2020-0688 позволяет APT наконец найти цель для старых учетных записей, защищенных 2FA, которые были удалены несколько месяцев или лет назад.

Они могут использовать любые из этих старых учетных данных, не обходя 2FA, но даже могут управлять своим сервером Exchange. жертва.

Организациям, у которых есть «APT» или «программы-вымогатели» в матрице угроз, рекомендуется как можно скорее обновить свои почтовые серверы Exchange с помощью обновлений безопасности от февраля 2020 года.

Взлом серверов электронной почты является наиболее важным моментом атак APT, поскольку он позволяет им отслеживать и читать  связь по электронной почте компании.

Этот пост от TrustedSec содержит инструкции по обнаружению сервера Exchange, который уже был взломан с помощью этой ошибки.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Как выбрать, какие расширения будут отображаться на панели инструментов Edge

Расширения Microsoft Edge могут сделать ваш браузер более полезным. Но иногда может не понравиться ...

Вакцины COVID-19: Северная Корея взламывает лекарства

Южная Корея, если быть точным, ее разведывательная служба сорвала попытки Северной Кореи вторгнуться в южнокорейские компании ...

Drupal: обновления безопасности для борьбы с эксплойтами

Разработчики системы управления контентом (CMS) Drupal выпустили экстренные обновления безопасности из-за наличия некоторых эксплойтов, которые могут ...

Как отключить функцию «Получите еще больше от Windows» в Windows 10

Вас беспокоит, что сообщение «Получите еще больше от Windows» появляется каждый раз при обновлении до Windows 10? Может быть...

Военные США исследуют "телепатические" коммуникационные технологии

Исследовательское бюро армии США финансирует новое исследование того, как сигналы мозга могут ...

Canon признала атаку вымогателя в августе

Примерно три месяца спустя Canon публично подтвердила атаку с использованием программ-вымогателей в начале августа, которая затронула серверы ...

Хакеры любят просроченные домены

Иногда владельцы веб-сайтов не хотят продолжать иметь доменное имя и позволяют ему ...

Word: как добавить один и тот же текст в несколько документов с помощью одной ссылки

Microsoft Word позволяет легко добавлять один и тот же текст в несколько документов. Это особенно удобно для текста со специальным форматированием, ...

Черная пятница: киберпреступники следят за вашими покупками

Из-за условий, возникших в результате пандемии COVID-19, в Черную пятницу и ...

Фертильность в США: атака программ-вымогателей на крупнейшую сеть фертильности в США!

US Fertility, крупнейшая сеть фертильности в США, объявила, что некоторые из ее систем были зашифрованы в результате атаки вымогателя, которая ...