Ponad 80 procent serwerów Exchange jest nadal podatnych na poważną lukę, która została załatana prawie dwa miesiące temu.
Błąd CVE-2020-0688 istnieje w panelu sterowania Exchange – serwera poczty i kalendarza od Microsoft. Wada wynika z tego, że serwer nie tworzy poprawnie unikatowych kluczy w czasie instalacji otwierając serwery dla uwierzytelnionych atakujących. Ci mogą wykonywać na nich zdalnie kod z uprawnieniami systemowymi.
Badacze wykorzystali narzędzie Sonar Project do wyszukania i analizy podatnych serwerów Exchange. Spośród 433 464 zaobserwowanych, co najmniej 357 629 było podatnych na atak (82,5%).
Niezałatane serwery wykorzystywane są przez autorów zaawansowanych uporczywych zagrożeń. Rozpoczęły się pod koniec lutego i były wymierzone w liczne organizacje. Celem było uruchomienie poleceń systemowych w celu rozpoznania, rozmieszczenia backdoorów oraz wykonanie post-exploitów w ramach pamięci.
Analiza luki CVE-2020-0688 doprowadziła do zatrważających wniosków. Problemy z zarządzaniem poprawkami serwerów pocztowych Microsoft sięgają znacznie głębiej. Okazało się, że od 2012 roku ponad 31 tys. serwerów Exchange 2010 nie zostało zaktualizowanych. W blisko 800 – nigdy nie zainstalowano aktualizacji.
Zalecamy pilną aktualizację Microsoft Exchange. Użytkownicy mogą również ustalić, czy kiedykolwiek ktoś próbował wykorzystać tę lukę w ich środowisku. Eksploatacja wymaga ważnego konta użytkownika Exchange. Każde konto powiązane z tymi próbami należy traktować jako zagrożone.