Mapeamento da Rapid 7, a empresa que distribui o Metasploit, indica que esses servidores podem não ter recebido o patch para a CVE 2020-0688, publicado pela Microsoft em Fevereiro deste ano
A Rapid 7, empresa americana especializada em ferramentas de cibersegurança – entre as quais o Metasploit – informou ontem que centenas de milhares de servidores Exchange continuam em risco de phishing por não terem corrigido a vulnerabilidade CVE-2020-0688. A Microsoft corrigiu recentemente essa vulnerabilidade de execução remota de código, que permite a um invasor utilizar uma conta de usuário para comprometer completamente o sistema.
Os números foram levantados pela empresa dia 24 de Março, durante pesquisas do seu Project Sonar, uma ferramenta usada para o levantamento de diferentes serviços e protocolos em uso na Internet, que assim obtém informações sobre a exposição de dispositivos e a natureza de suas vulnerabilidades na rede. O relatório do Sonar sobre os serviços do Exchange Outlook Web App (OWA) mostrou 433.464 servidores online, e um total de 357.629 (82,5%) considerados vulneráveis por falta de patch nessa CVE.
Veja isso
Hackers exploram vulnerabilidade em servidores Exchange
Grupo russo muda tática e passa atacar e-mail corporativo
O bug que causa essa vulnerabilidade está no componente ECP (Painel de Controle do Exchange), que pode ser usado para gerenciar caixas de correio, grupos de distribuição, contatos no nível da caixa de correio e vários outros objetos da plataforma Exchange na organização. A Rapid 7 observou, no entanto, que “nossa verificação remota e não autenticada não mostra a versão (do software) com a precisão necessária, e nossos testes descobriram que a atualização da Microsoft nem sempre atualiza também o número da compilação, o que gera um certo grau de incerteza”, diz o blog.
O relatório também afirma que mais de 31.000 servidores Exchange 2010 não foram atualizados desde 2012 e 800 servidores Exchange 2010 jamais foram atualizados. Vários grupos de APT já estão tentando explorar o CVE 2020-0688 e também outros bugs de execução remota de código recentemente corrigidos nos servidores. Segundo a Microsoft, o bug ocorre devido a uma vulnerabilidade de corrupção de memória e pode ser explorado por um invasor enviando um email criado especialmente para um servidor Exchange vulnerável. A Microsoft corrigiu a vulnerabilidade em fevereiro de 2020.
