25万台服务器存在高危漏洞,工具可直接控制服务器Exchange服务器版本。CVE-2020-0688RCE漏洞存在于Exchange控制面板(ECP)组件(在默认配置中启用)中,使潜在攻击者能够使用任何有效的电子邮件凭据远程接管易受攻击的Exchange服务器。微软周二发布了该安全问题,作为2020年2月补丁的一部分,通过可利用指数评估将其标记为“更有可能被利用”,表明该漏洞是攻击者的一个有吸引力的目标。目标。在GitHub上出现一些概念验证漏洞后,网络安全公司Rapid7在其于3月4日开发的Metasploit渗透测试框架中添加了一个MS-Exchange-RCE模块。一周后,CISA和NSA都敦促组织尽快为服务器修补CVE-2020-0688漏洞,因为多个APT组织已经在野外积极利用它。超过61%易受攻击的服务器未打补丁Rapid7此前发布了一份关于易受攻击并试图利用CVE-2020-0688漏洞的Exchange服务器数量的更新报告,Rapid7再次利用其Sonar项目全互联网调查工具进行了另一项人员调查。而且,这个数字几乎和以往一样可怕,61.10%(总共405,873台服务器中的247,986台)易受攻击的服务器(即Exchange2010、2013、2016和2019)仍未修补并面临持续的攻击。该公司研究人员发现,近138,000台Exchange2016服务器和约25,000台Exchange2019服务器中的87%,约25,000台Exchange2019服务器中的77%,以及约54,000台Exchange2010服务器受到CVE-2020-0688“六年未更新”攻击Rapid7还发现了16,577台可通过互联网访问的Exchange2007服务器,这是一种不受支持的Exchange版本,未收到针对CVE-2020-0688攻击的安全更新。为CVE-2020-0688修补Exchange服务器Rapid7Labs的高级经理TomSellers解释说:“Exchange管理员和信息安全团队需要做两件重要的事情:验证更新的部署并检查妥协的迹象。”通过检查日志中的Windows事件和IIS部分编码的负载(包括“Invalidviewstate”文本或“Invalidviewstate”文本或“uuviewstate”和“uuViewStateGenerator”字符串请求到/ecp(通常是/ecp)下的路径,可以入侵帐户/default.aspx)在攻击Exchange服务器时使用很容易被发现。正如微软所说,目前没有针对CVE-2020-0688漏洞的缓解措施,唯一的选择是在攻击者发现之前修补服务器,并完全破坏服务器所在的整个网络——除非管理员拥有重置所有帐户密码的时间和意愿,使以前被盗的凭据变得毫无价值。下表列出了修补易受攻击的MicrosoftExchangeServer版本所需的安全更新的直接下载链接和相关的知识库文章:
