Serwery Microsoft Exchange posiadają lukę (CVE-2020-0688), która umożliwia zdalne uruchamianie złośliwego kodu w systemie ofiary z poziomu sieci lokalnej bądź Internetu. Pomimo tego, że Microsoft wydał aktualizację niemal osiem miesięcy temu, aż 61 proc. serwerów jest nadal podatnych na ataki.
Microsoft zamieścił 11 lutego informację o luce 2020-0688 RCE w ramach comiesięcznego „Patch Tuesday” informując o wykorzystaniu tej podatności przez exploity jako „bardzo prawdopodobne”. W marcu Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) oraz NSA (National Academy of Sciences) ostrzegły administratorów sieci, że niezałatane serwery stały się obiektem ataków ukierunkowanych APT. Napastnicy wykorzystują lukę do uruchamiana poleceń systemowych w celu przeprowadzenia rekonesansu i wprowadzenia backdoora Web Shell, który umożliwia hakerowi dostęp do powłoki systemowej atakowanego serwera.
W kwietniu Rapid7, firma działająca w branży cyberbezpieczeństwa, opublikowała wyniki badań, z których wynikało, że ponad 80 procent serwerów Exchange wciąż było podatnych na ataki (357 tys. spośród 433 tys. posiadało lukę). Autorzy wykorzystali narzędzie Project Sonar służące do analizy serwerów Exchange połączonych z Internetem. Co gorsza, w ciągu ostatnich kilku miesięcy sytuacja nie ulegała zasadniczej poprawie. Według najnowszych badań 61 proc. serwerów Exchange (2010, 2013, 2016 i 2019) nadal posiada lukę CVE-2020-0688. Na uwagę zasługuje fakt, iż 54 tys. serwerów Exchange 2010 nie było aktualizowanych od sześciu lat.
Dane przedstawione przez Rapid7 są bardzo niepokojące, tym bardziej, że jednym z największych zagrożeń dla firm są właśnie luki w systemach operacyjnych i zainstalowanych programach. Dlatego tak ważne jest instalowanie łatek publikowanych przez producenta oprogramowania. Szczególnie w tym zakresie przydatne są narzędzia do zarządzania uaktualnieniami oferowane przez niektóre aplikacje bezpieczeństwa. Natomiast administratorzy serwerów Exchange powinni zweryfikować przeprowadzone do tej pory aktualizacje oraz sprawdzić oznaki naruszenia bezpieczeństwa.
Tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender.
