Server Exchange: l’80% di quelli esposti è ancora privo di patch

All’incirca 350.000 del totale dei server Microsoft Exchange attualmente esposti su Internet non sono ancora stati sottoposti a patch per la vulnerabilità legata all’esecuzione di codice in modalità remota post-autenticazione CVE-2020-0688 che interessa tutte le versioni di Microsoft Exchange Server supportate.

Questa vulnerabilità di sicurezza è presente nel componente del Pannello di controllo di Exchange (ECP), per impostazione predefinita, e consente ad un attaccante di prendere il controllo dei server vulnerabili utilizzando credenziali di posta elettronica valide verificate in precedenza.

Microsoft ha corretto questo bug RCE nella patch del martedì di febbraio 2020  etichettandolo con una valutazione dell’indice di sfruttamento “Sfruttamento più probabile“, suggerendo che la vulnerabilità è un bersaglio interessante per gli attaccanti.

Il 4 marzo l’azienda di sicurezza informatica Rapid7, quelli che hanno ideato il framework di penetration test Metasploit, ha aggiunto un nuovo modulo RCE di MS Exchange tra gli strumenti utilizzabili da Metasploit, a seguito di molteplici exploit  e POC emersi su GitHub.

Sia la NSA che la CISA hanno emesso avvisi per sollecitare le aziende ed installare le patch relative al CVE-2020-0688 il prima possibile, visto che più gruppi APT hanno già iniziato a sfruttarlo sul campo.

82,5% di tutti i server Exchange rilevati non sono ancora corretti

A partire dal 24 marzo, Rapid7 ha utilizzato il suo strumento di sondaggio, Project Sonar, per scoprire tutti i server Exchange esposti pubblicamente su Internet e i numeri sono allarmanti.

Come già anticipato, “almeno 357.629 (82,5%) dei 433.464 server Exchange” sono ancora vulnerabili agli attacchi che potrebbero sfruttare la vulnerabilità CVE-2020-0688.

A peggiorare le cose, alcuni dei server che sono stati contrassegnati da Rapid7 come sicuri contro gli attacchi potrebbero essere ancora vulnerabili dato che “il relativo aggiornamento Microsoft non aggiornava sempre il numero di build”.

357.629 (82,5%) dei 433.464 server Exchange

Inoltre, “ci sono oltre 31.000 server Exchange 2010 che non sono stati aggiornati dal 2012”, hanno osservato i ricercatori di Rapid7. “Esistono quasi 800 server Exchange 2010 che non sono mai stati aggiornati.”

Sono stati in inoltre trovati 10.731 server Exchange 2007 e oltre 166.321 Exchange 2010, il primo che si trova nella “End of Support” (EoS) ovvero server in produzione che non ricevono aggiornamenti di sicurezza dal 2017 e il secondo che ha raggiungerà lo stato di EoS nell’ottobre 2020.

I risultati di Rapid7 si allineano con un rapporto di Kenna Security del 13 marzo in cui si afferma che solo il 15% di tutti i server Exchange trovati è stato patchato per CVE-2020-0688 fino all’11 marzo.

Patch contro CVE-2020-0688 

“Ci sono due importanti sforzi che gli amministratori di Exchange e i team di infosec devono intraprendere: verificare la distribuzione dell’aggiornamento e verificare la presenza di compromessi”, ha spiegato ulteriormente il senior manager di Rapid7 Labs Tom Sellers.

Gli account utente compromessi e utilizzati negli attacchi contro i server di Exchange possono essere rilevati controllando i log degli eventi di Windows e IIS per verificare  la presenza di payload codificati, incluso il testo “Viewstate non valido” (“Invalid viewstate”) o la stringa __VIEWSTATE e __VIEWSTATEGENERATOR per le richieste al path sotto la directory /ecp.

Poiché Microsoft afferma che non esistono fattori attenuanti per questa vulnerabilità, l’unica scelta rimasta, come consiglia anche Rapid7, è quella di patchare i server prima che gli hacker li trovino e compromettano completamente l’intera rete, a meno che non si desideri resettare  le password di tutti gli account utente per rendere inutili le credenziali precedentemente rubate.

I collegamenti per il download degli aggiornamenti di sicurezza per le versioni vulnerabili di Microsoft Exchange Server necessarie per distribuire l’aggiornamento e gli articoli KB correlati sono disponibili nella tabella seguente:

ProdottoArticoloDownload
Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 304536989Security Update
Microsoft Exchange Server 2013 Cumulative Update 234536988Security Update
Microsoft Exchange Server 2016 Cumulative Update 144536987Security Update
Microsoft Exchange Server 2016 Cumulative Update 154536987Security Update
Microsoft Exchange Server 2019 Cumulative Update 34536987Security Update
Microsoft Exchange Server 2019 Cumulative Update 44536987Security Update

Potete seguire alert e notizie in tempo reale su Vulnerabilità, Exploits, Attacchi, Codici Malevoli e Cyber-Crime sul nostro profilo Twitter https://twitter.com/euroinformatica o su quello della nostra Security Unit “CyberTeam” su https://twitter.com/CyberTeamClub