Los expertos en seguridad de la información advierten que los piratas informáticos ya están escaneando la red en busca de servidores Microsoft Exchange que sean vulnerables a CVE-2020-0688, cual Microsoft developers fixed two weeks ago.
El problema está relacionado con el funcionamiento del Panel de control de Exchange. (ECP) componente y la incapacidad de Microsoft Exchange para crear claves criptográficas únicas durante la instalación.
"El error permite a atacantes autenticados ejecutar de forma remota código arbitrario con privilegios de SISTEMA y comprometer completamente el servidor vulnerable", – describir el problema expertos de Microsoft.
Demostración del problema con el uso de claves criptográficas estáticas en un servidor sin parches ya ha sido publicado por Iniciativa de día cero (ver vídeo a continuación). Los investigadores advierten que cualquier atacante remoto, que comprometa el dispositivo o las credenciales de un empleado de la empresa, podrá ir al servidor Exchange y podrá leer y falsificar correo corporativo.
Reconocidos expertos en seguridad de la información. Kevin Beaumont y Troy Mursch de Paquetes malos ya advierten sobre escaneos masivos de la red en busca de servidores vulnerables.
“La actividad de escaneo masivo CVE-2020-0688 ha comenzado. Eso fue rápido, desde 2 Hace horas vimos un posible escaneo masivo de CVE-2020-0688 (intercambio de microsoft 2007+ Vulnerabilidad ICE)", — escribe Kevin Beaumont.
Los expertos señalan que la autenticación en los servidores de destino no es un problema para los atacantes. Lo transmiten con las herramientas de recopilación de información sobre los empleados de la empresa en LinkedIn, y luego usar estos datos, combinado con relleno de credenciales, y también Outlook Web Access (OWA) y PAE.
"Esta vulnerabilidad simplemente derrama credenciales. Has iniciado sesión con privilegios de SISTEMA. Iniciar Mimikatz. Exchange almacena las credenciales de usuario en la memoria, en formato de texto plano, so you end up with all user passwords without hashing”, – escribe Kevin Beaumont.
Administrators of the vulnerable server recommend installing patches as soon as possible.
I also recall that recently Microsoft advised administrators to disable the SMBv1 protocol on Exchange servers para protegerse contra amenazas que explotan sus vulnerabilidades.
