Компанія Rapid7 виявила вразливість в Microsoft Exchange 2010, 2013, 2016 і 2019

Понад 247 000 серверів Microsoft Exchange постраждали від вразливості віддаленого виконання коду ( CVE-2020-0688 ).

Проблема міститься в компоненті Панелі керування Exchange (ECP), який увімкнуто в конфігураціях за замовчуванням і може дозволити потенційним зловмисникам віддалено контролювати уражені сервери Exchange за допомогою будь-яких дійсних облікових даних електронної пошти.

За даними  фахівців компанії з інформаційної безпеки Rapid7, в даний час 61,10% (247 986 з 405 873) постраждалих серверів (версії Exchange 2010, 2013, 2016 і 2019 років) не зафіксовані і знаходяться під загрозою кібератак.

87% з майже 138 000 серверів Exchange 2016 і 77% з приблизно 25 000 серверів Exchange 2019 містять CVE-2020-0688, а приблизно 54 000 серверів Exchange 2010 взагалі не оновлювалися за останні шість років. В Інтернеті також було 16 577 серверів Exchange 2007, які були припинені в 2017 році.

Скомпрометовані облікові записи, які використовуються в атаках на сервери Exchange, можна легко виявити, перевіривши журнали подій Windows і IIS на наявність частин закодованого корисного навантаження, включаючи текст "Недійсний стан перегляду" або рядки __VIEWSTATE і __VIEWSTATEGENERATOR запитів на шлях в /ecp (зазвичай /ecp/default.aspx).

Оскільки Microsoft заявила, що не існує заходів для запобігання експлуатації вразливості, єдиний вибір, що залишився, - це виправити сервери, перш ніж зловмисники знайдуть їх і повністю скомпрометують мережу.

Інші новини