Cadangan dan tambalan yang menambal lubang keamanan telah menjadi salah satu masalah paling bermasalah di bidang TI selama bertahun-tahun. Dan jika segalanya lebih baik dengan cadangan (meskipun anekdot tentang sysadmin yang tidak membuat atau sudah membuat cadangan akan relevan untuk waktu yang lama), maka semuanya menyedihkan dengan keamanan. Kisah dengan Garmin adalah konfirmasi lain dari ini.
Pendanaan yang tersisa, harapan akan βkesempatanβ dan faktor-faktor lain menyebabkan kebocoran dan pembobolan secara berkala. Tapi semuanya masih ada. Cloud4Y memiliki lebih dari satu kali cerita lucu tentang kebocoran dan peretasan keamanan . Dan inilah cerita lain yang hanya menegaskan inersia perusahaan dalam masalah yang tampaknya penting seperti keamanan data.
Apa masalahnya
Kembali pada Februari 2020, Microsoft menambal kerentanan CVE-2020-0688 yang memengaruhi server Microsoft Exchange. Kerentanan keamanan ini terdapat di komponen Exchange Control Panel (ECP) dan memungkinkan penyerang untuk membajak server Microsoft Exchange yang rentan menggunakan kredensial email valid yang dicuri sebelumnya. Untuk menekankan pentingnya masalah, perusahaan menambahkan tanda kerentanan Eksploitasi Lebih Mungkin "Eksploitasi sangat mungkin terjadi," mengisyaratkan bahwa kerentanan tersebut merupakan target yang menarik bagi penyerang.
Bug berbahaya terkait dengan pekerjaan komponen ECP. Exchange tidak dapat membuat kunci kriptografi unik selama penginstalan, yang memberikan penyerang yang melewati tahap otentikasi kemampuan untuk mengeksekusi kode arbitrer dari jarak jauh dengan hak istimewa SISTEM dan sepenuhnya membahayakan server yang rentan.
Tahapan otentikasi itu sendiri, juga tidak menjadi masalah. Penyerang dapat melewatinya menggunakan alat untuk mengumpulkan informasi tentang karyawan perusahaan melalui LinkedIn. Dan kemudian gunakan informasi yang dikumpulkan, digabungkan dengan isian kredensial, terhadap Outlook Web Access (OWA) dan ECP.
Pada bulan Februari, pakar keamanan memperingatkan bahwa mereka secara aktif memindai jaringan untuk mencari server Microsoft Exchange yang rentan. Untuk melakukan serangan, yang harus mereka lakukan adalah menemukan server yang rentan, menemukan alamat email yang dapat ditambang melalui URL klien web OWA, atau mengumpulkan data dari kebocoran sebelumnya. Jika penyerang dapat menavigasi ke server Exchange, mereka dapat membocorkan atau memalsukan pesan email perusahaan.
Dua badan keamanan informasi barat NSA dan CISA juga mengeluarkan peringatan yang menyerukan pemasangan segera patch CVE-2020-0688, mengutip kasus eksploitasi kerentanan ini oleh kelompok peretas.
Direbut dan dilupakan
Tapi, seperti yang sering terjadi, tidak hanya semua orang yang memperhatikan hype (c). Kebanyakan perusahaan mengabaikan ancaman tersebut. Beberapa bulan kemudian, spesialis keamanan siber Rapid7 menggunakan alat berbasis web Project Sonar mereka untuk menemukan semua server Exchange publik di Internet. Dan hasilnya sangat menyedihkan.
Mereka menemukan bahwa setidaknya 357.629 (82,5%) dari 433.464 server Exchange masih terbuka untuk serangan yang mengeksploitasi CVE-2020-0688.
Beberapa server yang ditandai oleh Rapid7 sebagai dilindungi dari serangan masih rentan karena tambalan Microsoft tidak memperbarui semua versi OS. Tapi itu belum semuanya. Peneliti menemukan hampir 11.000 server yang menjalankan Microsoft Exchange 2007 menggunakan perangkat lunak End of Support (EoS), yang mengakhiri dukungan pada 2017, dan 166.000 server yang menjalankan Microsoft Exchange 2010, yang akan mengakhiri dukungan pada Oktober 2020. Lapisan gula pada kue adalah informasi bahwa hampir 31 ribu server Microsoft Exchange 2010 terhubung ke Internet, yang belum diperbarui sejak 2012, dan 800 di antaranya tidak pernah diperbarui.
Kami akan memutuskan nanti siapa yang harus disalahkan. Apa yang harus dilakukan?
Dengan cara yang bersahabat, penting tidak hanya untuk menginstal patch, tetapi untuk menentukan apakah penyerang mencoba untuk mengeksploitasi kerentanan. Karena penyerang harus mengendalikan setidaknya satu akun untuk melakukan ini, akun apa pun yang terkait dengan percobaan eksploitasi harus dianggap diretas.
Akun pengguna yang disusupi yang digunakan untuk menyerang server Exchange dapat dideteksi dengan memeriksa log peristiwa Windows dan IIS untuk menemukan potongan muatan yang dikodekan, termasuk teks "Kondisi tampilan tidak valid" atau string "__VIEWSTATE" dan "__VIEWSTATEGENERATOR" dalam permintaan kueri di jalur di direktori / ecp.
Satu-satunya jalan keluar yang dianggap bermakna adalah dengan memasang tambalan di server Anda sebelum peretas menemukannya dan benar-benar membahayakan seluruh jaringan Anda. Jika tidak, mungkin perlu mengubah semua akun pengguna dan kata sandi yang dicuri.
Tautan unduhan pembaruan keamanan untuk versi Microsoft Exchange Server yang rentan dan artikel Pangkalan Pengetahuan terkait tersedia di tabel di bawah ini:
| Versi MS Exchange | Artikel | Tambalan |
| Batal pemutakhiran Microsoft Exchange Server 2010 Paket Layanan 3 30 | 4536989 | Pembaruan Keamanan |
| Pembaruan kumulatif Microsoft Exchange Server 2013 23 | 4536988 | Pembaruan Keamanan |
| Pembaruan Kumulatif Microsoft Exchange Server 2016 14 | 4536987 | Pembaruan Keamanan |
| Pembaruan Kumulatif Microsoft Exchange Server 2016 15 | 4536987 | Pembaruan Keamanan |
| Pembaruan Kumulatif Microsoft Exchange Server 2019 3 | 4536987 | Pembaruan Keamanan |
| Pembaruan Kumulatif Microsoft Exchange Server 2019 4 | 4536987 | Pembaruan Keamanan |
Jangan lupakan keamanan. Kurangnya perlindungan beberapa bulan setelah rilis patch sangat menyedihkan.
Apa lagi yang berguna yang dapat Anda baca di blog Cloud4Y
β Kecerdasan buatan bernyanyi tentang revolusi
β Apa geometri Semesta?
β Apakah kita membutuhkan awan di luar angkasa
β Telur Paskah di peta topografi Swiss
β Pemenang kompetisi startup The Europas Awards 2020
Berlangganan saluran Telegram kami agar tidak ketinggalan artikel lain. Kami menulis tidak lebih dari dua kali seminggu dan hanya tentang bisnis. Ngomong-ngomong, baru-baru ini kami mengadakan webinar tentang penghitungan TCO untuk proyek TI, tempat kami menjawab pertanyaan mendesak. Jika Anda tertarik - selamat datang!