Oltre 350.000 server di Exchange sono ancora senza patch

Microsoft invita gli amministratori ad applicare la patch il più presto possibile, anche alla luce degli attacchi ai server di posta Exchange vulnerabili iniziati a febbraio

Era stata rilasciata diversi mesi fa ma la sua adozione è stata lenta.

Oltre 350,000 tra tutti i server Microsoft Exchange potrebbero non aver ancora adottato la patch contro la vulnerabilità dell’esecuzione remota del codice post-autenticazione CVE-2020-0688.
La conseguenza? Un forte impatto su tutte le versioni supportate di Microsoft Exchange Server.
La soluzione era presente all’interno della patch rilasciata da Microsoft il giorno 11 febbraio ma sono poche le aziende che l’hanno effettivamente applicata ai propri server.

Microsoft ha incoraggiato gli amministratori ad applicare la patch il più presto possibile, etichettandola all’interno dell’exploitability index assessment come “Exploitation More Likely“, accennando alla vulnerabilità e rilevando che potrebbe essere un bersaglio invitante per i mal intenzionati.

Microsoft ha inoltre dichiarato di anticipare i futuri attacchi alla vulnerabilità della remote code execution: per questo è ancora più importante installare la patch!!

Gli attacchi ai server di posta Exchange vulnerabili sono iniziati a febbraio e sono avvenuti dopo il rilascio di un report tecnico che illustrava nel dettaglio come funzionasse il bug.

Ora, quasi due mesi dopo, i ricercatori Rapid7 hanno usato il loro Project Sonar per scansionare Internet ed hanno rilevato che almeno l’82,5% dei 433.464 server Exchange sono vulnerabili al CVE-2020-0688.
A peggiorare le cose, c’è il fatto che molti dei server contrassegnati da Rapid7 come sicuri dagli attacchi risulterebbero comunque vulnerabili poichè molti update al server non includono l’update ai build number.

“Ci sono due sforzi fondamentali che gli amministratori di Exchange e i team di sicurezza informatica devono intraprendere: verificare l’implementazione dell’aggiornamento e verificare la presenza di segnali di compromissione“, ha spiegato Tom Sellers, senior manager di Rapid7 Labs.
Gli account utente compromessi e gli account utilizzati negli attacchi contro i server Exchange possono essere rilevati controllando i Windows Event ed i IIS logs per porzioni di payload codificati, incluso sia il testo “Invalid viewstate” che la stringa __VIEWSTATE e __VIEWSTATEGENERATOR per le richieste a un percorso sotto /ECP.

Microsoft afferma che, poiché non esistono fattori attenuanti per questa vulnerabilità, è estremamente importante applicare la patch ai server prima che gli hacker possano individuarli e compromettere l’intera rete.

Le informazioni presenti in questo post, sono prese dall’articolo: A critical flaw in 350,000 Microsoft Exchange remains unpatched.