超过247,000台Microsoft Exchange服务器将针对CVE-2020-0688身份验证后远程执行代码(RCE)漏洞进行修补,此漏洞会影响受支持的所有Exchange Server版本。
CVE-2020-0688 RCE漏洞存在于Exchange控制面板(ECP)组件中(默认配置已启用),它使潜在的攻击者可以使用任何有效的电子邮件凭据来远程接管易受攻击的Exchange服务器。
微软在2020年2月星期二补丁中解决了安全问题,并用“更可能利用”可利用性指数进行了标记,表明该漏洞是攻击者的诱人目标。
网络安全公司Rapid7在3月4日开发的Metasploit渗透测试框架中添加了一个MS Exchange RCE模块,此前在GitHub上出现了一些概念验证漏洞。
一周后,鉴于多个APT小组已经在积极利用CVE-2020-0688漏洞,CISA和NSA都敦促组织尽快修补其服务器。
超过61%的容易受到攻击的服务器未打补丁
在对先前的暴露清单中的Exchange服务器数量的最新更新中,这些暴露的Exchange服务器容易受到尝试利用CVE-2020-0688漏洞的攻击,Rapid7再次利用了其Project Sonar Internet范围内的调查工具来增加人员。
而且这个数字几乎和以前一样严峻,仍然有61.10%的服务器(即405,873台服务器中的247,986台)易受攻击的服务器(即Exchange 2010、2013、2016和2019年)没有打补丁,并且容易受到持续的攻击。
该公司的研究人员发现,将近138,000台Exchange 2016服务器中的87%和约25,000台Exchange 2019服务器中的77%被暴露于CVE-2020-0688漏洞,并且大约54,000台Exchange 2010服务器“六年未更新”。
Rapid7还发现了通过Internet可访问的16,577台Exchange 2007服务器,这是不受支持的Exchange版本,该版本没有收到安全更新以防御CVE-2020-0688攻击。
针对CVE-2020-0688修补Exchange服务器
Rapid7 Labs高级经理汤姆·塞勒斯(Tom Sellers)解释说:“ Exchange管理员和信息安全团队需要进行两项重要的工作:验证更新的部署并检查是否存在破坏迹象。”
通过检查Windows事件和IIS日志中编码的有效载荷的一部分,包括对“ / ecp”(通常为/ ecp /)下的路径的请求的“ Invalid viewstate”文本或__VIEWSTATE和__VIEWSTATEGENERATOR字符串,可以轻松地发现用于攻击Exchange服务器的受损帐户。 default.aspx)。
正如微软所说,没有针对CVE-2020-0688漏洞的缓解措施,剩下的唯一选择是在攻击者找到服务器之前修补服务器并完全破坏它们所处的整个网络-除非管理员有时间并且愿意这样做。重置所有帐户的密码,以使以前被盗的凭据毫无价值。
下表列出了需要安装的安全更新的直接下载链接,以修补易受攻击的Microsoft Exchange Server版本和相关的KB文章:
| 产品 | 文章 | 下载 |
| Microsoft Exchange Server 2010 Service Pack 3更新汇总30 | 4536989 | 安全更新 |
| Microsoft Exchange Server 2013累积更新23 | 4536988 | 安全更新 |
| Microsoft Exchange Server 2016累积更新14 | 4536987 | 安全更新 |
| Microsoft Exchange Server 2016累积更新15 | 4536987 | 安全更新 |
| Microsoft Exchange Server 2019累积更新3 | 4536987 | 安全更新 |
| Microsoft Exchange Server 2019累积更新4 | 4536987 | 安全更新 |
*编译:Domino
*来自:bleepingcomputer