Especialistas em segurança da informação alertam que hackers já estão escaneando a rede em busca de servidores Microsoft Exchange vulneráveis ao CVE-2020-0688, qual Microsoft developers fixed two weeks ago.
O problema está relacionado ao funcionamento do Painel de Controle do Exchange (PCE) componente e a incapacidade do Microsoft Exchange de criar chaves criptográficas exclusivas durante a instalação.
“O bug permite que invasores autenticados executem remotamente código arbitrário com privilégios de SYSTEM e comprometam completamente o servidor vulnerável”, – descreva o problema Especialistas da Microsoft.
Demonstração do problema com o uso de chaves criptográficas estáticas em um servidor sem patch já foi publicado por Iniciativa Dia Zero (veja o vídeo abaixo). Pesquisadores alertam que qualquer invasor remoto, que comprometa o dispositivo ou credenciais de um funcionário da empresa, poderá acessar o servidor Exchange e ler e falsificar correspondências corporativas.
Especialistas renomados em segurança da informação Kevin Beaumont e Troy Mursch de Pacotes ruins já alertam sobre varredura em massa da rede em busca de servidores vulneráveis.
“A atividade de digitalização em massa CVE-2020-0688 começou. Aquilo foi rápido, desde 2 horas atrás, vendo uma provável varredura em massa para CVE-2020-0688 (Microsoft Exchange 2007+ Vulnerabilidade RCE)”, - escreve Kevin Beaumont.
Especialistas apontam que autenticação em servidores alvo não é problema para invasores. Eles repassam as ferramentas de coleta de informações sobre os funcionários da empresa no LinkedIn, e então use esses dados, combinado com preenchimento de credenciais, e também Outlook Web Access (OWA) e PCE.
“Esta vulnerabilidade apenas derrama credenciais. Você está logado com privilégios SYSTEM. Iniciar Mimikatz. Exchange armazena credenciais de usuário na memória, em formato de texto simples, então você acaba com todas as senhas de usuário sem hash”, – escreve Kevin Beaumont.
Os administradores do servidor vulnerável recomendam a instalação de patches o mais rápido possível.
Lembro-me também que recentemente Microsoft advised administrators to disable the SMBv1 protocol on Exchange servers para se proteger contra ameaças que exploram suas vulnerabilidades.
