近日,Rapid7公布的一项安全调查显示,2月份Exchange曝出的严重漏洞(CVE-2020-0688)至今依然有巨大的杀伤力,超过80%的公开Exchange服务器(已检测到超过35万台Exchange服务器)仍然容易受到该严重漏洞的攻击,研究人员警告说多个威胁组正在利用该漏洞。
有问题的漏洞(CVE-2020-0688)存在于Exchange的控制面板,Microsoft的邮件服务器和日历服务器中。该缺陷源于服务器在安装时未能正确创建唯一密钥使服务器仅向经过身份验证的攻击者开放,这使得攻击者可以利用系统特权对其远程执行代码。
研究人员最近使用扫描工具Project Sonar来分析面向Internet的Exchange服务器并嗅探出容易受到该漏洞影响的服务器。截至3月24日,在433,464台面向Internet的Exchange服务器中,至少有357,629台是易受攻击的。
尽管Microsoft在2020年2月发布了针对CVE-2020-0688的补丁程序,但是在攻击者开始扫描服务器漏洞并使用免费的PoC漏洞和3月初发布的Metasploit模块展开攻击时,仍有太多组织尚未实施补丁。
微软此前已经提供的漏洞修复更新如下:
Rapid7 Labs小组经理Tom Sellers在周一的分析中说:
如果您的企业正在使用Exchange,并且不确定是否已更新,我们强烈建议您立即采取行动。
趋势科技漏洞研究总监兼ZDI程序负责人Brian Gorenc(漏洞的发现者)透露,尽管该漏洞的严重性被Microsoft标记为“重要”,但实际达到了“严重”级别。
Rapid 7安全研究人员指出:
最重要的步骤是确定Exchange是否已更新。CVE-2020-0688的更新需要在启用了Exchange控制面板(ECP)的所有服务器上安装。通常,这些服务器都是客户端访问服务器(CAS),用户可以在其中访问Outlook Web App(OWA)。
参考资料
Rapid7 Exchange漏洞分析文章:
https://blog.rapid7.com/2020/04/06/phishing-for-system-on-microsoft-exchange-cve-2020-0688/