美国国家安全局和一家网络安全公司提醒业界,Microsoft Exchange Server中存在一个远程执行代码漏洞。
尽管微软上个月发布了针对CVE-2020-0688的补丁,但已经发现许多黑客组织都在利用此漏洞。在安全研究人员公布了一份关于漏洞细节的技术报告之后,利用该漏洞的情况有所增加。
2月底,“零日行动”(Zero Day Initiative)的Simon Zuckerbraun发表了有关Exchange Server问题的详细报告,似乎将有价值的信息交给了等待中的黑客。
微软表示,针对该漏洞的补丁非常重要,它将影响Microsoft Exchange Server 2010、2013、2016和2019。该公司描述了安全问题:“当服务器在安装时未能正确创建唯一密钥时,Microsoft Exchange Server中将存在一个远程执行代码漏洞。对验证密钥的了解使具有邮箱的经过身份验证的用户能够传递要由Web应用程序反序列化的任意对象,由作为系统运行的Web应用程序进行反序列化”
美国国家安全局在推特上发布了一个简单的提醒,提醒人们该漏洞的存在:
Microsoft Exchange Server中存在一个远程执行代码(CVE-2020-0688)。如果未打补丁,则具有电子邮件凭据的攻击者可以在您的服务器上执行命令。
缓解指南可在以下网站获得:https://t.co/MMlBo8BsB0
网络安全公司Volexity也发布了一条警告:
APT参与者通过ECP漏洞CVE-2020-0688积极利用Microsoft Exchange Server。在此处了解有关攻击以及如何保护组织的更多信息:https://t.co/fwoKvHOLaV
在博客中,该公司提供了一些建议来缓解该漏洞:
解决此漏洞的最明显方法是应用Microsoft于2020年2月11日提供的安全更新。Volexity长期建议的另一种最佳做法是在IIS和Windows Server 2003的ECP虚拟目录上放置访问控制列表(ACL)限制。 或通过Web应用程序防火墙功能。 Volexity建议不需要特别访问ECP的任何人都不能访问它。理想情况下,这意味着禁用从Internet的访问,甚至限制组织内的哪些IP可以访问它。值得注意的是,双因素认证(2FA)可能阻止攻击成功,因为攻击者可能无法获取利用此漏洞所需的数据。
Volexity还强烈建议使密码过期,并要求用户定期更新密码。尽管有各种关于永远不需要更改密码的指导,但Volexity表示又组织经常会在旧密码导致严重数据泄露的情况下工作。此外,Volexity建议禁用不再需要或长时间未登录(例如,超过90天)的帐户。