根据安全公司Rapid7的最新研究,很少有组织将Microsoft的补丁程序用于危险的Exchange电子邮件服务器漏洞,该漏洞已在多个州赞助的黑客组织发布后的数周内被利用。
该补丁程序于2月11日星期二在Microsoft的补丁程序中发布,同时Redmond警告说,管理员应尽快修补该补丁程序,因为它预期将来会对该远程执行代码漏洞进行攻击。
在发布了详细说明该漏洞如何工作的技术报告之后,攻击者于2月下旬开始在Internet上扫描易受攻击的Exchange邮件服务器,随后不久便出现了一些概念验证漏洞和Metasploit模块。
但是现在,近两个月后,Rapid7研究人员使用该公司的Project Sonar扫描互联网,发现至少357,629台Exchange服务器易受CVE-2020-0688攻击,占扫描的433,464台Exchange服务器的82.5%。
令人担忧的是,Rapid7的汤姆·塞勒斯(Tom Sellers)指出,该漏洞使攻击者可以“完全破坏整个Exchange环境(包括所有电子邮件)以及潜在的所有Active Directory”,具体取决于服务器的实施方式。
鉴于Exchange环境的高价值,安全专家担心该漏洞可能成为勒索软件攻击者的最爱,而成为APT攻击者(可以使用它来读取公司的电子邮件存储库)的多汁目标。
“ CVE-2020-0688的更新需要安装在启用了Exchange控制面板(ECP)的任何服务器上。这通常是具有客户端访问服务器(CAS)角色的服务器,您的用户可以在其中访问Outlook Web应用(OWA),”卖方解释。
他还建议管理员确定攻击者是否尝试利用Exchange漏洞。由于要求攻击者为Exchange服务器上的电子邮件帐户至少拥有一个有效的凭据,因此卖方指出,与企图利用相关的任何帐户都应被视为受到破坏。
Kenna Security的研究人员对Exchange漏洞的修补率进行了两次分析。首先,它估计仅对15%的易受攻击的Exchange服务器进行了修补。第二项分析使用了对22,000台面向Internet的Outlook Web Access(OWA)服务器的扫描,发现74%的脆弱,而26%的潜在脆弱。
Kenna Security的研究主管Jonathan Cran写道:“立即丢弃所有漏洞并立即修补此漏洞。与企业环境中的其他大多数漏洞相比,此漏洞带来的风险更大。”
“如果根本不可能打补丁,请阻止对ECP的访问。最终,像这样的漏洞成为升级到Office 365的有力依据。”
Rapid7的扫描还发现了超过31,000台自2012年以来未打补丁的Exchange 2010服务器,以及近800台从未更新过的Exchange 2010服务器。
还发现了大量的Exchange 2007服务器,自2017年4月以来就不再受支持,以及超过166,000台连接到Internet的Exchange 2010服务器,这些支持服务将于10月13日终止。
卖方指出:“这是数量惊人的企业级邮件系统,几个月后将不被支持。”
*编译:Domino
*来自:ZDNET