Een kritieke kwetsbaarheid in Exchange-servers maakt het mogelijk voor aanvallers om systemen over te nemen door alleen het versturen van een speciaal geprepareerde e-mail. Microsoft heeft gisterenavond beveiligingsupdates voor het beveiligingslek uitgebracht, dat op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,1 is beoordeeld.
Tijdens de patchdinsdag van september heeft Microsoft in totaal 129 beveiligingslekken verholpen waarvan er 23 kritiek zijn en "remote code execution" mogelijk maken. Deze kwetsbaarheden bevinden zich in Windows, Dynamics 365, SharePoint, Exchange, Windows, IE11 en Edge. De kwetsbaarheid in Exchange is volgens securitybedrijf ZDI het gevaarlijkst. Een geauthenticeerde aanvaller kan door het versturen van een e-mail code met systeemrechten uitvoeren. Het feit dat de aanvaller geauthenticeerd moet zijn houdt in dat hij op een e-mailaccount moet kunnen inloggen.
Dat blijkt in de praktijk geen obstakel te zijn. Een soortgelijke kwetsbaarheid waarvoor in februari een patch verscheen werd kort na het verschijnen van details actief aangevallen. Ook bij dit beveiligingslek kon een geauthenticeerde aanvaller door het versturen van een e-mail code met systeemrechten uitvoeren. Op deze was het mogelijk om Exchange-servers over te nemen en bijvoorbeeld het e-mailverkeer te onderscheppen en manipuleren. Het ZDI verwacht dat aanvallers op korte termijn misbruik van het nieuwe beveiligingslek zullen maken.
Organisaties worden dan ook oproepen om de beveiligingsupdate voor de Exchange-kwetsbaarheid, aangeduid als CVE-2020-16875, de hoogste prioriteit te geven. Twee andere kritieke kwetsbaarheden die de aandacht verdienen bevinden zich in de Windows Media Audio Decoder. Alleen door het bezoeken van een kwaadaardige of gecompromitteerde website kan een aanvaller willekeurige code uitvoeren. Iets wat ook mogelijk is door een lek in de Windows Codecs Library. In dit geval moet een programma een malafide afbeelding verwerken.
Het grootste deel van de verholpen kwetsbaarheden is als "Belangrijk" beoordeeld. Vier van deze beveiligingslekken bevinden zich in Microsoft Office en zullen waarschijnlijk bij phishingaanvallen worden misbruikt, zo stelt Cisco. Alleen het openen van een kwaadaardig Office-document kan een aanvaller willekeurige code op het systeem laten uitvoeren. De door Microsoft uitgebrachte beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.