image

Kritiek lek in Exchange-servers maakt remote code execution via e-mail mogelijk

woensdag 9 september 2020, 10:09 door Redactie, 12 reacties

Een kritieke kwetsbaarheid in Exchange-servers maakt het mogelijk voor aanvallers om systemen over te nemen door alleen het versturen van een speciaal geprepareerde e-mail. Microsoft heeft gisterenavond beveiligingsupdates voor het beveiligingslek uitgebracht, dat op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,1 is beoordeeld.

Tijdens de patchdinsdag van september heeft Microsoft in totaal 129 beveiligingslekken verholpen waarvan er 23 kritiek zijn en "remote code execution" mogelijk maken. Deze kwetsbaarheden bevinden zich in Windows, Dynamics 365, SharePoint, Exchange, Windows, IE11 en Edge. De kwetsbaarheid in Exchange is volgens securitybedrijf ZDI het gevaarlijkst. Een geauthenticeerde aanvaller kan door het versturen van een e-mail code met systeemrechten uitvoeren. Het feit dat de aanvaller geauthenticeerd moet zijn houdt in dat hij op een e-mailaccount moet kunnen inloggen.

Dat blijkt in de praktijk geen obstakel te zijn. Een soortgelijke kwetsbaarheid waarvoor in februari een patch verscheen werd kort na het verschijnen van details actief aangevallen. Ook bij dit beveiligingslek kon een geauthenticeerde aanvaller door het versturen van een e-mail code met systeemrechten uitvoeren. Op deze was het mogelijk om Exchange-servers over te nemen en bijvoorbeeld het e-mailverkeer te onderscheppen en manipuleren. Het ZDI verwacht dat aanvallers op korte termijn misbruik van het nieuwe beveiligingslek zullen maken.

Organisaties worden dan ook oproepen om de beveiligingsupdate voor de Exchange-kwetsbaarheid, aangeduid als CVE-2020-16875, de hoogste prioriteit te geven. Twee andere kritieke kwetsbaarheden die de aandacht verdienen bevinden zich in de Windows Media Audio Decoder. Alleen door het bezoeken van een kwaadaardige of gecompromitteerde website kan een aanvaller willekeurige code uitvoeren. Iets wat ook mogelijk is door een lek in de Windows Codecs Library. In dit geval moet een programma een malafide afbeelding verwerken.

Het grootste deel van de verholpen kwetsbaarheden is als "Belangrijk" beoordeeld. Vier van deze beveiligingslekken bevinden zich in Microsoft Office en zullen waarschijnlijk bij phishingaanvallen worden misbruikt, zo stelt Cisco. Alleen het openen van een kwaadaardig Office-document kan een aanvaller willekeurige code op het systeem laten uitvoeren. De door Microsoft uitgebrachte beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd.

Reacties (12)
09-09-2020, 11:11 door Anoniem
Als een speciaal geprepareerde e-mail code door de System-user kan laten uitvoeren dan is er kennelijk een component van Exchange die op de inhoud van die e-mails reageert die onder de System-user draait. Dat lijkt me uitermate onverstandig.

Is er iemand met voldoende kennis van Exchange die kan aangeven of dit beeld klopt?
09-09-2020, 11:51 door Anoniem
Door Anoniem: Als een speciaal geprepareerde e-mail code door de System-user kan laten uitvoeren dan is er kennelijk een component van Exchange die op de inhoud van die e-mails reageert die onder de System-user draait. Dat lijkt me uitermate onverstandig.
Is er iemand met voldoende kennis van Exchange die kan aangeven of dit beeld klopt?


TLDR; alle services.
bron https://docs.microsoft.com/en-us/exchange/plan-and-deploy/deployment-ref/services-overview?view=exchserver-2019

POSHEX
09-09-2020, 12:13 door Anoniem
o.a. Exchange transport rules kunnen acties doen op basis van de inhoud van een bericht. de meeste Exchange services draaien onder System.
09-09-2020, 14:19 door Anoniem
Door Anoniem: TLDR; alle services.
bron https://docs.microsoft.com/en-us/exchange/plan-and-deploy/deployment-ref/services-overview?view=exchserver-2019

POSHEX
Door Anoniem: o.a. Exchange transport rules kunnen acties doen op basis van de inhoud van een bericht. de meeste Exchange services draaien onder System.
Bedankt allebei.
09-09-2020, 14:31 door Anoniem
Even een vraag, het is mij niet helemaal duidelijk, maar dient de update geïnstalleerd te worden op b.v. exchange 2016 CU15? Is alleen CU16 en hoger vulnerable?

Aangezien er alleen maar voor CU16 en CU17 updates zijn uitgebracht (2016)
09-09-2020, 15:04 door Anoniem
"When in Mainstream Support, critical product updates are released as needed on a monthly basis for the most recently released CU and for the immediately previous CU."

https://docs.microsoft.com/nl-nl/Exchange/new-features/updates?redirectedfrom=MSDN&view=exchserver-2016

Momenteel ontvangen alleen Exchange Server 2016 CU16 en CU17 beveiligings-updates. Alleen de huidige en de vorige Cumulative Update.
09-09-2020, 16:28 door Anoniem
Door Anoniem: Even een vraag, het is mij niet helemaal duidelijk, maar dient de update geïnstalleerd te worden op b.v. exchange 2016 CU15? Is alleen CU16 en hoger vulnerable?

Aangezien er alleen maar voor CU16 en CU17 updates zijn uitgebracht (2016)

Er zal wel in CU16 een fout gezeten hebben die meegegaan is naar 17.. Daarom zal denk ik alleen deze patch voor deze 2 versies zijn.
09-09-2020, 16:39 door Anoniem
Door Anoniem: Even een vraag, het is mij niet helemaal duidelijk, maar dient de update geïnstalleerd te worden op b.v. exchange 2016 CU15? Is alleen CU16 en hoger vulnerable?

Aangezien er alleen maar voor CU16 en CU17 updates zijn uitgebracht (2016)

Alleen de laatste 2 CU versies zijn ondersteund. CU15 is dus niet meer ondersteund, en zal geen update voor uitkomen.
09-09-2020, 17:22 door Anoniem
Dit is wel vrij heftig als je tot de realisatie komt dat het eigenlijk om een DC gaat die je kan overnemen met een mailtje. Ook hangt de server (vaak) direct op het web. En als je gelijk system rechten hebt dan kan je vervolgens weer een hoop kwa post exploitatie etc. (hyped)
09-09-2020, 23:11 door Anoniem
Door Anoniem:
Door Anoniem: Even een vraag, het is mij niet helemaal duidelijk, maar dient de update geïnstalleerd te worden op b.v. exchange 2016 CU15? Is alleen CU16 en hoger vulnerable?

Aangezien er alleen maar voor CU16 en CU17 updates zijn uitgebracht (2016)

Alleen de laatste 2 CU versies zijn ondersteund. CU15 is dus niet meer ondersteund, en zal geen update voor uitkomen.

Dit klopt helemaal. Advies is gewoon elk kwartaal de CU installeren (zelf doe dit altijd c.a. 1-2 weken nadat deze uitkomt). Op een LAB omgeving min of meer direct.

De Update installs zijn eigenlijk next-next upgrade installs. Uiteraard, afhankelijk van de omgeving meer of mindere mate complexe zaken waar je rekening mee moet houden en af en toe wat preqs updates die je moet uitvoeren, zoals een paar CUs geleden in Exchange 2019 van .NET 4.7 naar .NET 4.8. Microsoft is met de info hierover altijd wel duidelijk.

Cumulative updates komen elk kwartaal uit, en bevatten ook altijd de updates van de laatste 3 maanden, sinds de release. De nieuwe CU zal over c.a. 2 weken uitkomen.
18-09-2020, 13:36 door Anoniem
Als ik deze update via SSCM laat installeren crasht heel Exchange 2019, manueel geen probleem iemand ook dit probleem?
03-10-2020, 17:11 door Anoniem
Even een heads-up, deze bug is nog niet volledig verholpen met de patch: https://twitter.com/steventseeley/status/1312090843814203392
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.