Microsoft Exchange漏洞已于2月修補(bǔ)，并已被多個(gè)威脅組所針對(duì)。

超過80％的公開Exchange服務(wù)器仍然容易受到嚴(yán)重漏洞的攻擊-漏洞修復(fù)后近兩個(gè)月，并且研究人員警告說多個(gè)威脅組正在利用該漏洞。

有問題的漏洞（CVE-2020-0688）存在于Exchange的控制面板，Microsoft的郵件服務(wù)器和日歷服務(wù)器中。該缺陷源于服務(wù)器在安裝時(shí)未能正確創(chuàng)建唯一密鑰，從而使服務(wù)器向經(jīng)過身份驗(yàn)證的攻擊者開放，這些攻擊者可以利用系統(tǒng)特權(quán)對(duì)其遠(yuǎn)程執(zhí)行代碼。

研究人員最近使用掃描工具Project Sonar來分析面向Internet的Exchange服務(wù)器并嗅探出容易受到該漏洞影響的服務(wù)器。截至3月24日，在433,464臺(tái)面向Internet的Exchange服務(wù)器中，至少有357,629臺(tái)是易受攻擊的。

如果您的組織正在使用Exchange，并且不確定是否已更新，我們強(qiáng)烈建議您立即跳至“采取行動(dòng)”部分，” Rapid7 Labs小組經(jīng)理Tom Sellers在周一的分析中說。

盡管該漏洞已作為Microsoft在2月補(bǔ)丁周二  更新的一部分得到修復(fù)  ，但研究人員在3月的   通報(bào)中警告說，未命名的服務(wù)器正被未具名的高級(jí)持續(xù)威脅（APT）參與者在野外利用。研究人員說，攻擊始于2月下旬，針對(duì)“眾多受影響的組織”。他們觀察到攻擊者利用該缺陷運(yùn)行系統(tǒng)命令來進(jìn)行偵察，部署Webshel??l后門以及在利用后執(zhí)行內(nèi)存中框架。

漏洞研究主管，趨勢(shì)科技ZDI程序負(fù)責(zé)人Brian Gorenc（被認(rèn)為發(fā)現(xiàn)了該漏洞）通過電子郵件告訴Threatpost，盡管該漏洞被Microsoft標(biāo)記為嚴(yán)重性“重要”，但研究人員認(rèn)為應(yīng)將其視為“嚴(yán)重” 。”

他說：“這就是為什么我們與Microsoft合作通過協(xié)調(diào)披露來對(duì)其進(jìn)行修補(bǔ)的原因，這就是為什么我們通過博客向防御者提供有關(guān)它的詳細(xì)信息的原因。” “我們認(rèn)為Exchange管理員應(yīng)該將其視為重要補(bǔ)丁，而不是Microsoft標(biāo)記為重要。我們鼓勵(lì)所有人盡快應(yīng)用補(bǔ)丁，以保護(hù)自己免受此漏洞的侵害。”

Exchange服務(wù)器的補(bǔ)丁程序管理問題超出了CVE-2020-0688。賣家表示，他的調(diào)查顯示，自2012年以來未更新過31,000臺(tái)Exchange 2010服務(wù)器。而且，有將近800臺(tái)從未更新過的Exchange 2010服務(wù)器。

賣方敦促管理員確認(rèn)已部署更新。他還說，用戶可以確定是否有人試圖利用其環(huán)境中的漏洞：“由于利用漏洞需要一個(gè)有效的Exchange用戶帳戶，因此與這些嘗試相關(guān)的任何帳戶都應(yīng)被視為受到損害，”賣方說。

賣方說：“最重要的步驟是確定Exchange是否已更新。” “ CVE-2020-0688的更新需要在啟用了Exchange控制面板（ECP）的任何服務(wù)器上安裝。通常，這是具有客戶端訪問服務(wù)器（CAS）角色的服務(wù)器，您的用戶可以在其中訪問Outlook Web App（OWA）。”