01/10/20
Проблема содержится в компоненте панели управления Exchange Control Panel (ECP), который включен в конфигурациях по умолчанию, и позволяет потенциальным злоумышленникам удаленно перехватить контроль над уязвимыми серверами Exchange с использованием любых действительных учетных данных электронной почты.
По данным специалистов ИБ-компании Rapid7, в настоящее время 61,10% (247 986 из 405 873) уязвимых серверов (версии Exchange 2010, 2013, 2016 и 2019) не исправлены и подвержены риску кибератак.
87% из почти 138 тыс. серверов Exchange 2016 и 77% из примерно 25 тыс. серверов Exchange 2019 содержат уязвимость CVE-2020-0688, а примерно 54 тыс. серверов Exchange 2010 и вовсе не обновлялись за последние шесть лет. Также были обнаружены в Сети 16 577 серверов Exchange 2007, поддержка которых была прекращена 2017 году.
Как сообщили ИБ-специалисты, взломанные учетные записи, используемые в атаках на серверы Exchange, можно легко обнаружить, проверив журналы событий Windows и IIS на предмет частей закодированных полезных данных, включая текст «Недопустимое состояние просмотра» или строки __VIEWSTATE и __VIEWSTATEGENERATOR для запросов к пути в /ecp(обычно /ecp/default.aspx).
Поскольку Microsoft заявила, что нет никаких мер по предотвращению эксплуатации уязвимости, единственный оставшийся выбор — исправить серверы до того, как злоумышленники найдут их и полностью скомпрометируют сеть.
