安全研究人员Kevin Beaumont在周三(2/26)警告,他发现有人在网络上大量扫描微软于本月修补的CVE-2020-0688安全漏洞,该漏洞攸关Microsoft Exchange服务器,呼吁Exchange用户应尽快修补。
CVE-2020-0688漏洞起因于Exchange服务器在安装时没能妥善创建唯一密钥,将允许具备该知识及信箱的授权用户以系统权限传递任意对象,属于远程程序攻击漏洞,该漏洞影响Microsoft Exchange Server 2010 SP3、Microsoft Exchange Server 2013、Microsoft Exchange Server 2016与Microsoft Exchange Server 2019,但只被微软列为重要(Important)等级的风险。
尽管目前安全研究人员只发现锁定该漏洞的扫描行为,并未看到实际的开采行动,但日前Zero Day Initiative(ZDI)不只披露了CVE-2020-0688漏洞的细节,还公布开采程序。
ZDI解释,根据微软的说法,黑客可传递一个特定的电子邮件到含有漏洞的Exchange服务器上,就能造成内存毁损并展开攻击;但具体而言,该漏洞藏匿在Exchange的控制板(ECP)组件上,它的本质非常简单,因为它不是在安装时随机产生密钥,而是所有的Exchange Server都在web.config中,存有同样的验证密钥与解密密钥值。使用静态密钥的结果,即是让黑客能够在服务器上执行任意的.NET程序代码。
Beaumont指出,虽然微软只将该漏洞列为重要等级,但如果企业或组织的Exchange服务器直接连上了网络,那么这便是个重大(Critical)漏洞了,预期在未来几个月,就会看到勒索软件集团针对该漏洞展开攻击。