NSA varnar statligt sponsrade hackare som utnyttjar Microsoft Exchange Server-sårbarheten

0 Shares

Hacker skriver användarnamn och lösenord

Både NSA och ett cybersäkerhetsföretag har påmint teknikvärlden om förekomsten av en sårbarhet för fjärrkörning av kod i Microsoft Exchange Server.

Även om Microsoft utfärdade en korrigeringsfil för CVE-2020-0688 förra månaden har många statliga sponsorer hackgrupper upptäckts som utnyttjar sårbarheten. Utnyttjandet ökade efter att en säkerhetsforskare publicerade en teknisk rapport om detaljerna i sårbarheten.

Mot slutet av februari publicerade Simon Zuckerbraun från Zero Day Initiative en detaljerad beskrivning av problemet med Exchange Server, som tycks lämna värdefull information till väntande hackare.

Microsoft har angett att korrigeringsfilen för sårbarheten är viktig och noterar att den påverkar Microsoft Exchange Server 2010, 2013, 2016 och 2019. Företaget beskriver säkerhetsproblemet: “Det finns en sårbarhet för fjärrkörning av koden i Microsoft Exchange Server när servern inte korrekt skapa unika nycklar vid installationen. Kunskap om valideringsnyckeln tillåter en autentiserad användare med en postlåda att skicka godtyckliga objekt för att deserialiseras av webbapplikationen, som körs som SYSTEM “.

NSA twittrade en enkel påminnelse om förekomsten av sårbarheten:

En källa vid Försvarsdepartementet bekräftade senare för ZDNet att flera regeringsstödda hackingsgrupper, beskrivna som “alla de stora aktörerna”, attackerade opatchade servrar. Cybersäkerhetsföretaget Volexity twittrade också en varning:

I ett blogginlägg erbjuder företaget råd för att mildra sårbarheten:

Det mest uppenbara sättet att åtgärda denna sårbarhet är att tillämpa säkerhetsuppdateringar som görs tillgängliga från Microsoft den 11 februari 2020. En annan bästa praxis som Volexity länge har rekommenderat är att placera ACL-begränsningar (Access Control List) i den virtuella ECP-katalogen i IIS och / eller via vilken som helst brandväggsfunktion för webbapplikationer. Volexity rekommenderar att ECP-katalogen inte är tillgänglig för alla som inte specifikt behöver komma åt den. Helst innebär detta att inaktivera åtkomst från Internet och till och med begränsa vilka IP-adresser inom en organisation som kan nå det. Det är värt att notera att 2FA kan förhindra att attacken lyckas, eftersom angriparen kanske inte kan skaffa de data som behövs för att utnyttja sårbarheten.

Volexity rekommenderar också starkt att organisationer fortsätter att löpa ut lösenord och kräva att användare uppdaterar lösenord regelbundet. Trots olika vägledning om lösenord som aldrig behöver ändras fungerar Volexity ofta fall där gamla lösenord resulterade i allvarliga dataintrång. Denna sårbarhet understryker ett sådant fall där en organisation kan låsas ner, har korrekt distribuerat 2FA och fortfarande har en incident på grund av föråldrad eller svag lösenord. Vidare rekommenderar Volexity att inaktivera konton som inte längre behövs eller som inte har loggat in under längre tid (t.ex. längre än 90 dagar).

Bildkredit: Frank-Peters / depositphotos.com

0 Shares