Vulnerabilidade no Exchange Server CVE-2020-0688

Olá pessoal, tudo bem?

Ontem eu comentei com vocês sobre um enorme comprometimento (1.2 Milhões) de contas e hoje foi anunciada a vulnerabilidade CVE-2020-0688.

Mais sobre o CVE-2020-0688

A falha relatada pelo CVE-2020-0688 é tão grave que se da desde a instalação do Microsoft Exchange Server.
Alguns pontos-chave sobre esta falha: “Em vez de ter chaves geradas aleatoriamente em cada instalação, todas as instalações do Microsoft Exchange Server têm o mesmo valor. Essas chaves são usadas para fornecer segurança ao ViewState. ” e “Devido ao uso de chaves estáticas, um invasor autenticado pode induzir o servidor a desserializar dados do ViewState criados com códigos maliciosos. Com a ajuda do YSoSerial.net, um invasor pode executar código .NET malicioso no servidor no contexto do aplicativo Web do Painel de Controle do Exchange, que é executado como. ”ValidationKeydecryptionKeyweb.configSYSTEM

No caso do CVE-2020-0688 é possível utilizar um ataque que compromete as redes dos servidores Exchange (todas as versões suportadas) com instalação local.

Lista dos KBs para baixar a correção para o problema:

Microsoft Exchange Server 2010	4536989
Microsoft Exchange Server 2013	4536988
Microsoft Exchange Server 2016	4536987
Microsoft Exchange Server 2019	4536987

No vídeo abaixo um exemplo de como é possível explorar a vulnerabilidade.

E como mitigar o problema?

A forma mais obvia é manter o ambiente atualizado de acordo com a versão do Microsoft Exchange. Incluir regras de ACL no diretório virtual do ECP ou do firewall é uma medida possível porem mais trabalhosa.

Caso sua organização não utilize ECP considere mantê-lo indisponível para fora da organização.

E é claro o famoso MFA ou 2FA (Multi Fator de autenticação).

A aplicação deste método adicional de segurança pode impedir que o ataque seja bem-sucedido, uma vez que o invasor pode não conseguir adquirir os dados necessários para explorar a vulnerabilidade.

Você gostou? Compartilhe e comente.