攻击者正在积极扫描Internet,以寻找容易受到两周前Microsoft修补的CVE-2020-0688远程执行代码漏洞影响的Microsoft Exchange Server 。
在进行这些持续扫描之后,直到最新发布的补丁程序的所有Exchange Server版本都可能遭受潜在的攻击,包括当前不受支持的扫描,即使Microsoft的安全公告未明确列出它们。
该缺陷存在于Exchange控制面板(ECP)组件中,这是由Exchange在安装时无法创建唯一的加密密钥引起的。
一旦被利用,它就允许经过身份验证的攻击者以被利用服务器上的SYSTEM特权远程执行代码,并完全破坏它。
Microsoft Exchange Server接管演示
零时区倡议(Zero Day Initiative)安全研究员Simon Zuckerbraun发布了一个演示,演示如何利用Microsoft Exchange CVE-2020-0688漏洞以及如何将固定的加密密钥用作对未打补丁的服务器的攻击的一部分。
Zuckerbraun解释说:“任何破坏设备或企业用户凭据的外部攻击者都可以继续接管Exchange服务器。”
“完成此任务后,攻击者将可以随意泄露或伪造公司电子邮件通信。
“因此,如果您是Exchange Server管理员,则应将其视为关键级补丁程序,并在测试完成后立即进行部署。”
尽管Microsoft授予CVE-2020-0688严重性等级为“重要”,但是,如果企业内部或外部的攻击者成功地窃取任何用户的凭据,他们很可能也可以立即访问并接管Exchange服务器。
发生这种情况是因为,几乎所有用户都具有Exchange邮箱,并且即使他们具有有限的特权也可以通过服务器进行身份验证-这绝不是攻击者的障碍,因为身份验证是成功利用此漏洞的唯一要求。
要利用此漏洞,攻击者只需找到可在Internet上访问的易受攻击的服务器,搜索他们从Outlook Web Access(OWA)门户URL收集的电子邮件地址,并从以前的数据泄露中获取相关的转储。
接下来,他们只需要发起凭据填充攻击,并一直保持攻击,直到受到打击并能够登录到服务器为止。进入一次之后,剩下的就是利用CVE-2020-0688漏洞并完全破坏目标Exchange服务器。
您可以访问所有受支持的Microsoft Exchange Server版本的安全更新说明,并从下表中下载它们:
| 产品 | 文章 | 下载 |
| Microsoft Exchange Server 2010 Service Pack 3更新汇总30 | 4536989 | 安全更新 |
| Microsoft Exchange Server 2013累积更新23 | 4536988 | 安全更新 |
| Microsoft Exchange Server 2016累积更新14 | 4536987 | 安全更新 |
| Microsoft Exchange Server 2016累积更新15 | 4536987 | 安全更新 |
| Microsoft Exchange Server 2019累积更新3 | 4536987 | 安全更新 |
| Microsoft Exchange Server 2019累积更新4 | 4536987 | 安全更新 |
扫描后总是会受到攻击
安全研究员凯文·博蒙特说: “有一些开放源代码工具可以在LinkedIn上输入公司页面,转储所有员工的姓名,然后通过凭据填充对Outlook Web App进行身份验证尝试。” 这些工具用于主动攻击,以获取OWA和ECP访问权限。”
他还补充说,攻击者可以使用Mimikatz利用后的工具来转储所有用户的密码,因为Exchange Server将用户凭据以纯文本格式存储在内存中,没有任何哈希。
Zuckerbraun还补充说:“微软列出的漏洞利用指数为1,这意味着他们希望在补丁发布后30天内看到漏洞利用。”
正如上面的视频以及Zuckerbraun对如何利用此漏洞的详细解释所表明的那样,针对未打补丁的Microsoft Exchange Server计算机的大规模攻击即将落入勒索软件有效载荷和其他危险的恶意软件有效载荷。
根据Microsoft的说法,由于没有可用的缓解措施,也没有任何变通办法来阻止攻击,因此,剩下的唯一选择是在黑客入侵服务器之前先对服务器进行修补。
*编译:Domino
*来自:Bleeping