Cientos de miles de Servidores Exchange que permanecen sin parchear están expuestos


Microsoft Exchange Server es un software exclusivo para servidores con sistema operativo Windows Servers, donde provee los servicios de correo y calendario.

Microsoft parcheo una vulnerabilidad de tipo ejecución de código remoto RCE durante el “Patch Tuesday” de Febrero del 2020, esta falla de seguridad está presente en el componente del panel de control de Exchange (ECP - Exchange Control Panel), permitiendo a atacantes tomar control sobre los servidores Microsoft Exchange vulnerables, usando credenciales de correo electrónico robadas con anterioridad. 

Las recientes investigaciones arrojan que más de 350.000 servidores Microsoft Exchange expuestos a internet aún no han sido parcheados contra la vulnerabilidad CVE-2020-0688. Desde la fecha son varias las pruebas de concepto (proof-of-concept) y metasploit que han surgido para esta vulnerabilidad. Debido a esto, tanto la agencia de seguridad (NSA) y la agencia de ciberseguridad y infraestructura de seguridad (CISA), han recomendado a las organizaciones parchear tan pronto como sea posible.

Los investigadores encontraron que al menos 357.629 (82.5%) de los 433.464 servidores expuestos a Internet aún permanecen sin parchear.

Escaneo de cantidad de servidores expuestos por CVE-2020-0688


En la gráfica anterior se puede apreciar que incluso hay más de 31.000 servidores con Exchange 2010 que no han sido actualizados desde el 2012 y aproximadamente 800 servidores con Exchange 2010 que nunca han sido actualizados. Así como 10.731 servidores con Exchange 2007, que como bien es sabido ya no poseen soporte de actualizaciones.

Algo que es recomendable es determinar si alguien a intentado explotar esta vulnerabilidad en el entorno. Debido a que la explotación requiere de una cuenta de un usuario válido de Exchange, cualquier cuenta que hizo algún intento de explotación debe ser tratada como comprometida.

Los expertos destacaron que durante las pruebas del código de explotación, los intentos de explotación se muestran en el registro de eventos en los registros de eventos de la aplicación con origen “MSExchange Control Panel”, “level”, “Error” y identificador del evento “4”. Estas entradas incluyen la cuenta de usuario comprometido como también un largo mensaje de error que incluye el texto “Invalid viewstate”. El cual no es más que la porción de carga útil codificada.

Registro de Error de intento de explotación de CVE-2020-0688


También podrá verlos en sus registros IIS para solicitudes en una ruta en “/ecp” (por defecto /ecp/default.aspx), los cuales contienen las cadenas “_VIEWSTATE” y “_VIEWSTATEGENERATOR”. La larga cadena en medio de esta petición, como en el caso de la ventana de registro de eventos, también es una porción de la carga útil.

Se podrá encontrar el nombre del usuario comprometido al final de la entrada de Registro.

Ubicación del nombre de usuario comprometido por intento de explotación




Fuente:

COMENTARIOS

Nombre

Actualizaciones,4,Adobe,1,Adware,3,AgentTesla,1,android,31,Antivirus,3,Apple,16,Apps,12,Arkavia Networks,13,asus,1,Ataques,5,Azure,2,Backdoor,4,Bancos,6,Bases de Datos,4,Bluetooth,1,Botnet,4,Botnet. Malware,1,Check Point,3,Chips,1,Chrome,2,Ciberataque,4,Cibercrimen,131,Ciberdelincuencia,4,ciberseguridad,112,Cisco,1,Citrix,3,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,5,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,2,Data Leak,9,Datos,2,DDoS,4,Deep Web,5,dlink,1,DNS,1,Domains,1,Ecommerce,2,Emotet,1,Empresas,113,enrutadores,1,Estadisticas,1,Eventos,5,Exchange,2,exploit,5,Exploits,11,Extensiones,1,Extensions,1,F5 Networks,1,Facebook,8,Firewall,1,Firmware,2,Framework,1,Gmail,1,GoDaddy,1,google,31,Hacking,83,Hardware,7,Hosting,3,IBM,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Linux,7,Malware,37,Malwares,32,MFA,1,Microsoft,32,Mirai,1,MSP,1,Mukashi,1,Nacional,10,NAS,1,Negocios,2,Netgear,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,14,Plugins,1,Protocolos,12,Python,1,Ransomware,14,RAT,1,RCE,1,RDP,1,Recomendaciones,15,Redes,30,redes sociales,12,Redhat,1,Remoto,1,Rootkit,1,Routers,2,RRSS,2,Salt,1,Salud,2,Servicios,5,Smartphones,29,SMB,3,Software,23,Sophos,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,Tplink,1,Trickbot,1,Trojan,1,Troyano,2,Update,4,updates,22,Videoconferencia,1,VPN,3,Vulnerabilidad,19,Vulnerabilidades,71,Web,6,WhatsApp,4,wifi,5,Windows,12,Wordpress,4,XG,1,zeroday,2,Zoom,2,
ltr
item
Arkavia Networks News: Cientos de miles de Servidores Exchange que permanecen sin parchear están expuestos
Cientos de miles de Servidores Exchange que permanecen sin parchear están expuestos
https://1.bp.blogspot.com/-u94aiAi4RfY/XoylOm-zy_I/AAAAAAAAB8A/9rAQ1aGISa0OV1HLfxnOS5afppPjVc5SACLcBGAsYHQ/s640/350.000%2BExchange%2Bserver%2Bvulnerability.jpg
https://1.bp.blogspot.com/-u94aiAi4RfY/XoylOm-zy_I/AAAAAAAAB8A/9rAQ1aGISa0OV1HLfxnOS5afppPjVc5SACLcBGAsYHQ/s72-c/350.000%2BExchange%2Bserver%2Bvulnerability.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/04/cientos-de-miles-de-servidores-exchange.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/04/cientos-de-miles-de-servidores-exchange.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy