AVVISO: Vulnerabilità grave su Microsoft Exchange

Il 20 febbraio scorso, è stata resa nota una vulnerabilità molto grave su sistemi Microsoft Exchange, la vulnerabilità è stata codificata come…

Vulnerabilità grave su Microsoft Exchange

Il 20 febbraio scorso, è stata resa nota una vulnerabilità molto grave su sistemi Microsoft Exchange, la vulnerabilità è stata codificata come:

CVE-2020-0688 | Microsoft Exchange Validation Key Remote Code Execution Vulnerability

La vulnerabilità consente, a chi la sfrutta, di ottenere un controllo completo del sistema Exchange con privilegi amministrativi, eseguire codici all’interno del sistema e potenzialmente accedere alle mailbox e all’Active Directory.

Si tratta quindi di un problema estremamente grave.

Dai dati in nostro possesso, al 24 aprile 2020 risulta che circa l’82% dei server Exchange esposti su Internet sono soggetti a questa vulnerabilità.

https://blog.rapid7.com/2020/04/06/phishing-for-system-on-microsoft-exchange-cve-2020-0688/

Noi stessi abbiamo potuto constatare la presenza e la gravità di questo problema presso diversi clienti.
Condizioni necessarie perché la vulnerabilità possa essere sfruttata sono:

1. Microsoft Exchange Client Access Role deve essere attivo.
2. L’attaccante deve avere una login valida.

La prima condizione è tipicamente presente ogni qualvolta sia attiva la funzionalità di accesso all’interfaccia Web della posta elettronica, ossia: Outlook Web Access (OWA). Si tratta quindi di una configurazione molto comune.

Attenzione, quanto detto vale per le installazioni di Exchange Server, non per le versioni cloud Office365 e Microsoft365.

La seconda condizione, prevede che l’attaccante abbia un accesso autenticato ad una casella di posta elettronica. Questa condizione si verifica se:

• L’attaccante è un utente dell’organizzazione.
• L’’attaccante ha reperito credenziali valide su Internet/Dark/Deep Web.
• L’attaccante ha effettuato un attacco precedente, ad esempio di phishing, e ottenuto delle credenziali valide. A questo proposito, è importante evidenziare che quest’ultima ipotesi è molto più vicina alla realtà di quanto sembri, perché gli attacchi di phishing sono in crescita continua e la percentuale di successo è ancora molto alta, parliamo di una media che oscilla intorno al 20%, secondo i dati raccolti dalla nostra esperienza diretta.

Microsoft ha rilasciato le patch da installare sui sistemi affetti, con installata una versione di Exchange uguale o superiore a Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688

Si presuppone che per le versioni precedenti non sarà rilasciato alcun aggiornamento.

In questo caso, qualora non fosse possibile aggiornare Exchange, consigliamo di verificare se i sistemi di protezione attualmente implementati offrono funzionalità di mitigazione per la specifica CVE.

Per ulteriori approfondimenti:

• https://www.zerodayinitiative.com/advisories/ZDI-20-258/
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0688

Trattandosi di un problema molto grave, INTUITY si rende disponibile, senza alcun impegno, a verificare la presenza della vulnerabilità sulla vostra infrastruttura pubblica.

Per richiedere questo controllo potete:

• Scrivere a security-alert@intuity.it indicando l’URL e l’indirizzo IP del sistema Microsoft Exchange esposto.
• Telefonare al numero 049 817 0850.

In entrambi i casi, riceverete una comunicazione e-mail in risposta con l’esito del test.

Qualora vogliate avere un’analisi più approfondita dell’impatto che la vulnerabilità può avere, anche in relazione alla vostra specifica configurazione, vi preghiamo di telefonare al numero indicato per valutare un intervento specialistico.