# CVE-2020-0688 > [!high] RCE Autenticado no Microsoft Exchange via Chave de Validação Estática > CVE-2020-0688 explora o fato de que todos os servidores Microsoft Exchange instalados compartilham a mesma chave de válidação estática no Exchange Control Panel (ECP), permitindo que um atacante autenticado force o servidor a desserializar dados maliciosos e execute código com privilégios SYSTEM. ## Visão Geral CVE-2020-0688 é uma vulnerabilidade de desserialização insegura no **Exchange Control Panel (ECP)**, interface web de administração do Microsoft Exchange. O problema fundamental é que durante a instalação, todos os servidores Exchange recebem a mesma chave de válidação estática (`machineKey`) para o ASP.NET ViewState - ao contrário do que seria correto (chave única por instalação). Com esta chave em mãos (ou descobrindo-a por outros meios), um atacante com qualquer conta de usuário Exchange pode criar ViewState malicioso assinado com a chave válida e enviá-lo ao servidor, desencadeando execução de código arbitrário com permissões SYSTEM. O grupo **GALLIUM** (Soft Cell), associado à China, foi identificado explorado esta vulnerabilidade em campanhas contra operadoras de telecomúnicações. A falha é especialmente relevante porque o requisito de autenticação inicial é facilmente satisfeito por credenciais comprometidas via phishing. > [!latam] Relevância para Brasil e LATAM > Servidores Exchange de organizações brasileiras sem o patch de fevereiro de 2020 continuaram vulneráveis por longos períodos. Ataques de spear-phishing que comprometem uma conta de e-mail corporativa podem ser seguidos imediatamente pela exploração desta CVE para escalada completa do servidor Exchange e acesso a toda a correspondência organizacional. ## Detalhes Técnicos | Campo | Detalhe | |-------|---------| | Tipo | Insecure Deserialization (ASP.NET ViewState) | | Componente | Exchange Control Panel (ECP) | | Requisito | Qualquer conta Exchange autenticada | | Causa raiz | Chave de válidação machineKey estática idêntica em todas as instalações | | CVSS | 8.8 (High) | | CISA KEV | Sim (2021-11-03) | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1114-email-collection|T1114 - Email Collection]] ## Mitigação - Aplicar o Patch Tuesday de fevereiro 2020 (KB4536988, KB4536987) imediatamente - Gerar e configurar chave `machineKey` única para cada instalação Exchange - Implementar autenticação multifator para contas Exchange - Monitorar logs IIS em `/ecp/` por POST requests com ViewState grandes e incomuns - Aplicar [[m1026-privileged-account-management|M1026 - Privileged Account Management]] e [[m1032-multi-factor-authentication|M1032 - Multi-Factor Authentication]] ## Referências - [Zero-Day Initiative - CVE-2020-0688](https://www.zerodayinitiative.com/blog/2020/2/24/CVE-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys) - [CISA KEV - CVE-2020-0688](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Microsoft Security Bulletin](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-0688) - [NVD - CVE-2020-0688](https://nvd.nist.gov/vuln/detail/CVE-2020-0688)