Μετά από ενημέρωση εξωτερικών συνεργατών μας και σε συνέχεια των ενεργειών του Εθνικού CSIRT-CY για την ενδυνάμωση της προστασίας των Κρίσιμων Υποδομών Πληροφοριών της Κυπριακής Δημοκρατίας, παρακαλούμε όπως ενημερωθείτε σχετικά με επίθεση που πραγματοποιήθηκε πρόσφατα κατά ασφαλιστικής εταιρείας στο εξωτερικό.
Πιο συγκεκριμένα, για την πραγματοποίηση επίθεσης έτυχε εκμετάλλευση της ευπάθειας CVE-2020-0688 (Microsoft Exchange Validation Key Remote Code Execution Vulnerability).
Σχετικές πληροφορίες:
- Η ευπάθεια αφορούσε το Microsoft Exchange Server 2019, έκδοση 15.2.221.12, το οποίο σύστημα είναι ευπαθές σε σχέση με το authenticated remote code execution
- Αυτή η ευπάθεια επιτρέπει στους κακόβουλους χρήστες να εκτελούν αυθαίρετο κώδικα (arbitrary code) σε επηρεαζόμενες εγκαταστάσεις του Microsoft Exchange Server. Για την εκμετάλλευση αυτής της ευπάθειας, απαιτείται έλεγχος ταυτότητας (authentication)
- Η συγκεκριμένη αδυναμία υπάρχει στην εφαρμογή ιστού του Πίνακα Ελέγχου Exchange. Το προϊόν αποτυγχάνει να δημιουργήσει μοναδικό κρυπτογραφικό κλειδί κατά την εγκατάσταση, το οποίο μπορεί να οδηγήσει σε αποσειριοποίηση μη αξιόπιστων δεδομένων. Ένας εισβολέας μπορεί να αξιοποιήσει αυτήν την ευπάθεια στην εκτέλεση κώδικα στο πλαίσιο του SYSTEM
- Επιπλέον, το Metasploit εκμεταλλεύεται μια ευπάθεια σειριοποίησης .NET στην ιστοσελίδα του Πίνακα Ελέγχου Exchange (ECP). Η ευπάθεια οφείλεται στο ότι ο Microsoft Exchange Server δεν τυχαιοποιεί τα κλειδιά βάσει της εγκατάστασης, με αποτέλεσμα να χρησιμοποιούν τα ίδια κλειδιά επικύρωσης και αποκρυπτογράφησης. Με γνώση αυτών των τιμών, οι εισβολείς μπορούν να δημιουργήσουν μια κατάσταση ειδικής προβολής για να προκαλέσουν την εκτέλεση μιας εντολής OS από το NT_AUTHORITY \ SYSTEM χρησιμοποιώντας την αποσειριοποίηση .NET
Βήματα Μετριασμού:
- Αναβάθμιση στην τελευταία έκδοση η οποία αντιμετωπίζει την ευπάθεια διορθώνοντας τον τρόπο με τον οποίο το Microsoft Exchange δημιουργεί τα κλειδιά κατά τη διάρκεια της εγκατάστασης