Más de 247.000 servidores de Microsoft Exchange siguen siendo vulnerables a los ataques que explotan el problema CVE-2020-0688  con un RCE (Ejecución Remota de Código) que afecta a Exchange Server, una vulnerabilidad de febrero de 2020. Una vulnerabilidad de ejecución de código remota en el software Microsoft Exchange cuando el software no puede manejar apropiadamente los objetos en la memoria, también se conoce como "Microsoft Exchange Memory Corruption Vulnerability".

• Más del 61% de los servidores Exchange son vulnerables a los ataques CVE-2020-0688

La vulnerabilidad CVE-2020-0688 reside en el componente del Panel de control de Exchange (ECP), la causa raíz del problema es que los servidores de Exchange no pueden crear correctamente claves únicas en el momento de la instalación.

"El conocimiento de la clave de validación permite a un usuario autenticado con un buzón pasar objetos arbitrarios para que sean deserializados por la aplicación web, que se ejecuta como SYSTEM". lee el aviso publicado por Microsoft

"El conocimiento de una clave de validación permite a un usuario autenticado con un buzón pasar objetos arbitrarios para ser deserializados por la aplicación web, que se ejecuta como SYSTEM". lee el aviso publicado por Microsoft.

Un atacante autenticado y remoto podría aprovechar la vulnerabilidad CVE-2020-0688 para ejecutar código arbitrario con privilegios de SISTEMA en un servidor y tomar el control total.

CVE-2020-0688 | Microsoft Exchange Validation Key Remote Code Execution Vulnerability

Los expertos en seguridad Simon Zuckerbraun de Zero Day Initiative publicaron detalles técnicos sobre cómo explotar Microsoft Exchange CVE-2020-0688 junto con un video PoC.





Microsoft abordó la vulnerabilidad con el lanzamiento de las actualizaciones del martes de parches de febrero de Microsoft, pero más de 247.000 servidores Microsoft Exchange (61% por ciento de las instalaciones de servidores Exchange) aún no se han solucionado.

Rapid7 informó que el 87% de casi 138.000 servidores Exchange 2016 y el 77% de alrededor de 25.000 servidores Exchange 2019 siguen siendo vulnerables a los ataques CVE-2020-0688, y aproximadamente 54.000 servidores Exchange 2010 no se han actualizado en seis años.

Después de que Microsoft abordó la falla, los expertos observaron que los actores de APT explotaban la falla.

Los investigadores de Rapid7 informaron que el 61 por ciento de los servidores de Exchange 2010, 2013, 2016 y 2019 siguen siendo vulnerables a la vulnerabilidad.

“Han pasado poco menos de ocho meses desde que Microsoft lanzó los parches para abordar CVE-2020-0688, por lo que pensamos que sería un buen momento para revisar la implementación de parches para ver si las organizaciones han abordado este riesgo en particular”. explicó Tom Sellers con Rapid7 en una publicación de blog. "Desafortunadamente, según nuestro estudio del 21 de septiembre de 2020, parece que el 61% de la población objetivo (Exchange 2010, 2013, 2016 y 2019) sigue siendo vulnerable a la explotación".


En marzo, investigadores de la firma de ciberseguridad Volexity advirtieron sobre los actores del estado nación que intentaban explotar la falla CVE-2020-0688.

Los expertos recomiendan determinar si Exchange se ha actualizado e instalar la actualización en cualquier servidor con el Panel de control de Exchange (ECP) habilitado.

"El método más confiable para determinar si la actualización está instalada es verificando el software de administración de parches, las herramientas de administración de vulnerabilidades o los propios hosts para determinar si se ha instalado la actualización adecuada". continúa la publicación ". Tenga en cuenta que es probable que estas herramientas no indiquen que falta la actualización si Exchange Server no está ejecutando una versión actual de la actualización acumulativa o el paquete acumulativo de Exchange. Estos servidores siguen siendo vulnerables ".




Según los expertos, los administradores podrían verificar la presencia de cuentas comprometidas utilizadas en ataques contra servidores de Exchange revisando los registros de eventos de Windows e IIS en busca de partes de cargas útiles codificadas, incluido el texto “Invalid viewstate "Estado de vista no válido" o las cadenas __VIEWSTATE y __VIEWSTATEGENERATOR para solicitudes a una ruta en / ecp (normalmente /ecp/default.aspx).




Los expertos advierten que los piratas informáticos están escaneando activamente Internet en busca de servidores Microsoft Exchange vulnerables en un intento de explotar el CVE-2020-0688 RCE.


Los atacantes, para aprovechar el problema, deben encontrar un servidor vulnerable expuesto en línea, buscar las direcciones de correo electrónico que recopilan de la URL del portal de Outlook Web Access (OWA) y utilizar datos de violaciones de datos anteriores para lanzar un ataque de relleno de credenciales.



“A continuación, solo tienen que lanzar un ataque de relleno de credenciales y continuar hasta que obtengan un resultado y puedan iniciar sesión en el servidor. Una vez dentro, todo lo que queda es aprovechar la vulnerabilidad CVE-2020-0688 y comprometer por completo el servidor Exchange objetivo "


Fuentes:
https://securityaffairs.co/wordpress/108946/hacking/vulnerable-exchange-servers.html