Vulnerabilidade no Exchange Server CVE-2020-0688
Olá pessoal, tudo bem?
Ontem eu comentei com vocês sobre um enorme comprometimento (1.2 Milhões) de contas e hoje foi anunciada a vulnerabilidade CVE-2020-0688.
Mais sobre o CVE-2020-0688
A falha relatada pelo CVE-2020-0688 é tão grave que se da desde a instalação do Microsoft Exchange Server.
Alguns pontos-chave sobre esta falha: “Em vez de ter chaves geradas aleatoriamente em cada instalação, todas as instalações do Microsoft Exchange Server têm o mesmo valor. Essas chaves são usadas para fornecer segurança ao ViewState. ” e “Devido ao uso de chaves estáticas, um invasor autenticado pode induzir o servidor a desserializar dados do ViewState criados com códigos maliciosos. Com a ajuda do YSoSerial.net, um invasor pode executar código .NET malicioso no servidor no contexto do aplicativo Web do Painel de Controle do Exchange, que é executado como. ”ValidationKeydecryptionKeyweb.configSYSTEM
No caso do CVE-2020-0688 é possível utilizar um ataque que compromete as redes dos servidores Exchange (todas as versões suportadas) com instalação local.
Lista dos KBs para baixar a correção para o problema:
Microsoft Exchange Server 2010 | 4536989 |
Microsoft Exchange Server 2013 | 4536988 |
Microsoft Exchange Server 2016 | 4536987 |
Microsoft Exchange Server 2019 | 4536987 |
No vídeo abaixo um exemplo de como é possível explorar a vulnerabilidade.
E como mitigar o problema?
A forma mais obvia é manter o ambiente atualizado de acordo com a versão do Microsoft Exchange. Incluir regras de ACL no diretório virtual do ECP ou do firewall é uma medida possível porem mais trabalhosa.
Caso sua organização não utilize ECP considere mantê-lo indisponível para fora da organização.
E é claro o famoso MFA ou 2FA (Multi Fator de autenticação).
A aplicação deste método adicional de segurança pode impedir que o ataque seja bem-sucedido, uma vez que o invasor pode não conseguir adquirir os dados necessários para explorar a vulnerabilidade.
Você gostou? Compartilhe e comente.
1 comentário