Mais de 247 mil servidores Microsoft Exchange estão vulneráveis a execução remota do código de pós-autenticação (RCE) CVE-2020-0688. Este foi o levantamento — reportado no último dia 29 — da empresa de segurança cibernética Rapid7, que identificou o problema em todas as versões do Exchange Server com suporte.

Basicamente, a falha CVE-2020-0688 RCE situa-se no componente do painel de controle do Exchange (ECP) — habilitado nas configurações padrão — e permite que invasores assumam servidores vulneráveis do software por meio de qualquer credencial de e-mail válida.

O grande problema dá-se no alto índice de servidores comprometidos: de acordo com a Rapid7, cerca de 61,10% dos servidores (247.986 de um total de 405.873) do Exchange 2010, 2013, 2016 e 2019 ainda estão sem correção e encontram-se expostos a ataques.

Além disso, os pesquisadores também constataram que 87% dos quase 138.000 servidores Exchange 2016 e 77% dos 25.000 servidores (aproximadamente) Exchange 2019 ficaram expostos às explorações CVE-2020-0688. Outros dados indicam que cerca de 54.000 servidores Exchange 2010 “não foram atualizados em seis anos” e 16.577 servidores Exchange 2007 (versão sem suporte) não receberam atualizações para corrigir a vulnerabilidade.

Reprodução

Número de servidores comprometidos das mais diversas versões do Exchange, de acordo com levantamento da Rapid7. Foto: Rapid7/Divulgação

Problema de longa data

Em fevereiro de 2020, a própria Microsoft chegou a abordar a falha de segurança como parte do patch lançado no mesmo mês pela empresa, sugerindo que o problema era um alvo atraente para invasores. Na época, a Rapid7 adicionou um módulo MS Exchange RCE à estrutura de teste de penetração Metasploit após diversas provas de explorações da vulnerabilidade serem reportadas no GitHub.

Uma semana após o ocorrido, tanto a Agência de Segurança Cibernética e Infraestrutura (CISA) quanto a Agência de Segurança Nacional (NSA) advertiram as organizações a corrigirem seus servidores contra a falha CVE-2020-0688 RCE, tendo em vista que as explorações já estavam sendo efetuadas. O aviso, no entanto, parece não ter surtido o efeito desejado.

“Com a corda no pescoço”, o grande desafio da Microsoft agora é atuar para evitar que mais servidores do Exchange sejam comprometidos. “Existem dois esforços importantes que os administradores do Exchange e as equipes de segurança da informação precisam realizar: verificar a implantação da atualização e verificar se há sinais de comprometimento”, explica o gerente sênior da Rapid7 Labs, Tom Sellers.

ReproduçãoA verificação de possíveis servidores comprometidos pode ser o primeiro passo para a correção das redes. Foto: Rawpixel

A boa notícia é que contas comprometidas usadas em ataques contra os servidores do software podem ser facilmente identificadas por meio das logs de eventos do Windows e Serviços de Informações da Internet (IIS).

No entanto, a Microsoft reforça que, como não há medidas para mitigar a vulnerabilidade CVE-2020-0688, a única opção restante é corrigir os servidores antes que os invasores comprometam toda a rede em questão — a menos que os administradores estejam dispostos a redefinir as senhas de todas as contas comprometidas.

Caso você queira se certificar de estar livre da vulnerabilidade no Microsoft Exchange Server, clique abaixo nos links de atualização de segurança e faça o update das versões disponíveis:

Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 14
Microsoft Exchange Server 2016 Cumulative Update 15
Microsoft Exchange Server 2019 Cumulative Update 3
Microsoft Exchange Server 2019 Cumulative Update 4

Via: Bleeping Computer