超过247000台Microsoft Exchange尚未针对服务器CVE-2020-0688远程代码授权后执行(RCE)修复漏洞会影响所有支持的漏洞。Exchange服务器版本。
CVE-2020-0688 RCE漏洞存在于Exchange控制面板(ECP)在组件中(在默认配置中使用),使潜在攻击者能够使用任何有效的电子邮件远程接管易受攻击Exchange服务器。
作为2020年2月补丁的一部分,微软在周二发布了这个安全问题,并将其标记为“更有可能被利用”可用性指数评估表明,这个漏洞是攻击者的一个有吸引力的目标。
网络安全公司Rapid73月4日开发的Metasploit在渗透测试框架中添加了一个MS-Exchange-RCE模块,此前GitHub有一些概念验证漏洞。
一周后,CISA和NSA敦促组织尽快针对CVE-2020-0688多个漏洞修复服务器APT该组织在野外积极利用它。
超过61%的易攻击服务器未修复
Rapid7之前发布了一份关于易受攻击的试图CVE-2020-0688漏洞攻击的Exchange更新服务器数量报告,Rapid7再次利用其Sonar项目互联网范围内的调查工具进行了另一次人员调查。
而且数字几乎和以前一样严重,61.10易受攻击的服务器(即405873台,247986台)Exchange 2010、2013、2016、2019)仍处于未修复状态,并面临持续攻击。
该公司的研究人员发现,近1.38万台Exchange 2016服务器和约25000台Exchange87%的服务器和约2.5万台 2019服务器Exchange 2019服务器中的77%受到CVE-2020-0688攻击约5.4万台Exchange 2010服务器“六年内没有更新”
Rapid7还发现了16577人可以通过互联网访问exchange2007这是一个不受支持的服务器Exchange版本,它没有收到CVE-2020-0688安全更新攻击。
针对CVE-2020-0688修补Exchange服务器
Rapid7 Labs高级经理Tom Sellers解释说:“Exchange管理员和infosec团队需要做两项重要的工作:验证更新的部署,检查是否有妥协的迹象。”
通过检查Windows事件和IIS有效负载日志的部分编码(包括“无效的viewstate”文本或/ecp(通常是/ecp)要求下一条路径“Invalid viewstate”文本或“uu viewstate”和“uuViewStateGenerator”字符串),很容易发现攻击Exchange服务器使用的损坏账户/默认.aspx).
正如微软所说,目前还没有针对性CVE-2020-0688缓解漏洞的唯一选择是在攻击者发现服务器之前修复服务器,并完全破坏服务器所在的整个网络——除非管理员有时间并愿意重置所有账户的密码,否则以前被盗的凭证将毫无价值。
下表列出了指向修的下表列出了Microsoft Exchange Server直接下载链接及相关知识库文章需要安装的版本:
