セキュリティホールにパッチを適用するバックアップとパッチは、長年にわたってITセクターで最も問題のある問題の1つです。そして、バックアップの方が良い場合(ただし、バックアップを作成していない、またはすでに作成しているsysadminに関する逸話は長い間関係します)、すべてがセキュリティで悲しくなります。ガーミンとの話はこれのもう一つの確認です。
残余資金、「チャンス」への期待、その他の要因により、定期的なリークやハッキングが発生します。しかし、物事はまだそこにあります。Cloud4Yは、セキュリティリークとハッキングに関する面白い話を何度も共有しています。そして、これは、データセキュリティのような一見重要な問題における企業の慣性を確認するだけの別の話です。
何が問題ですか
2020年2月に、MicrosoftはMicrosoftExchangeサーバーに影響を与えるCVE-2020-0688の脆弱性にパッチを適用しました。このセキュリティの脆弱性はExchangeコントロールパネル(ECP)コンポーネントに存在し、攻撃者が以前に盗まれた有効な電子メール資格情報を使用して脆弱なMicrosoftExchangeサーバーを乗っ取ることができます。この問題の重要性を強調するために、同社はExploitation More Likely脆弱性フラグ「Exploitationisverylike」を追加し、この脆弱性が攻撃者にとって魅力的なターゲットであることを示唆しています。
危険なバグは、ECPコンポーネントの動作に関連しています。 Exchangeは、インストール中に一意の暗号化キーを作成できません。これにより、認証段階を通過した攻撃者は、SYSTEM権限で任意のコードをリモートで実行し、脆弱なサーバーを完全に侵害することができます。
ちなみに、認証段階自体も問題ありません。攻撃者は、ツールを使用してLinkedInを介して会社の従業員に関する情報を収集することができます。次に、収集した情報を資格情報の詰め込みと組み合わせて、Outlook Web Access(OWA)およびECPに対して使用します。
2月、セキュリティの専門家は、脆弱なMicrosoftExchangeサーバーを探してネットワークを積極的にスキャンしていると警告しました。攻撃を実行するには、脆弱なサーバーを見つけるか、OWA WebクライアントのURLを介してマイニングできる電子メールアドレスを見つけるか、以前のリークからデータを収集するだけでした。攻撃者がExchangeサーバーに移動できた場合、企業の電子メールメッセージを漏らしたり偽装したりする可能性があります。
西側の2つの情報セキュリティ機関であるNSAとCISAも、ハッカーのグループによるこの脆弱性の悪用の事例を引用して、CVE-2020-0688パッチの迅速なインストールを求める警告を発行しました。
沸騰して忘れてしまった
しかし、よくあることですが、誰もが誇大広告に注意を払っただけではありません(c)。ほとんどの企業は脅威を無視しました。数か月後、サイバーセキュリティ企業のRapid7は、Project Sonar Webツールを使用して、インターネット上のすべてのパブリックExchangeサーバーを検出しました。そして、結果は非常に悲しいものでした。
彼らは、433,464台のExchangeサーバーのうち少なくとも357,629台(82.5%)が、CVE-2020-0688を悪用する攻撃に対してまだオープンであることに気づきました。
Rapid7が攻撃防止としてマークしたサーバーの一部は、MicrosoftパッチがすべてのOSビルドを更新しなかったため、依然として脆弱である可能性があります。しかし、それだけではありません。研究者は、2017年にサポートを終了したEnd of Support(EoS)ソフトウェアを使用してMicrosoft Exchange 2007を実行している約11,000台のサーバーと、2020年10月にサポートを終了するMicrosoft Exchange2010を実行している166,000台のサーバーを発見しました。ケーキのアイシングは、2012年以降更新されていない約31,000台のMicrosoft Exchange 2010サーバーがインターネットに接続されており、そのうち800台が更新されていないという情報でした。
誰のせいにするかは後で決めます。何をすべきか?
友好的な方法で、パッチをインストールするだけでなく、攻撃者が脆弱性を悪用しようとしたかどうかを判断する必要があります。これを行うには、攻撃者が少なくとも1つのアカウントを制御する必要があるため、悪用の試みに関連付けられているアカウントはすべてハッキングされていると見なす必要があります。
Exchangeサーバーを攻撃するために使用された侵害されたユーザーアカウントは、WindowsおよびIISのイベントログでエンコードされたペイロードの断片をチェックすることで検出できます。ディレクトリ/ ecp。
理にかなっている唯一の方法は、ハッカーがパッチを見つけてネットワーク全体を完全に危険にさらす前に、サーバーにパッチをインストールすることです。そうしないと、盗まれたすべてのユーザーアカウントとパスワードを変更する必要がある場合があります。
脆弱なバージョンのMicrosoftExchange Serverのセキュリティ更新プログラムおよび関連するナレッジベースの記事のダウンロードリンクは、次の表にあります。
| MSExchangeバージョン | 論文 | パッチ |
| Microsoft Exchange Server 2010 Service Pack3アップデートロールアップ30 | 4536989 | セキュリティアップデート |
| Microsoft Exchange Server2013累積アップデート23 | 4536988 | セキュリティアップデート |
| Microsoft Exchange Server2016累積アップデート14 | 4536987 | セキュリティアップデート |
| Microsoft Exchange Server2016累積アップデート15 | 4536987 | セキュリティアップデート |
| Microsoft Exchange Server2019累積アップデート3 | 4536987 | セキュリティアップデート |
| Microsoft Exchange Server2019累積アップデート4 | 4536987 | セキュリティアップデート |
安全性を忘れないでください。パッチのリリースから数か月後の保護の欠如は非常に悲しいことです。Cloud4Y
ブログで他に役立つものは何ですか
→人工知能が革命について歌います
→宇宙の幾何学は何ですか?
→我々は、空間内の雲必要です
→スイスの地形図上のイースターエッグ
→ Europasアワード2020は、スタートアップの競争の勝者
私たちに購読電報の別の記事を逃さないようにチャンネルを。私たちは週に2回以下、ビジネスについてのみ書いています。ちなみに、最近、ITプロジェクトのTCOの計算に関するウェビナーを開催し、差し迫った質問に答えました。興味があれば-ようこそ!