image

Onderzoekers tonen zerodaylekken in Microsoft Exchange en Teams

woensdag 7 april 2021, 10:31 door Redactie, 22 reacties

Tijdens de jaarlijkse Pwn2Own-wedstrijd in Vancouver hebben onderzoekers verschillende zerodaylekken in Microsoft Exchange, Microsoft Teams, Apple Safari, Windows 10 en Ubuntu Desktop gedemonstreerd. Het securitybedrijf dat vorig jaar een zeer kritieke kwetsbaarheid in Exchange ontdekte, waar de afgelopen maanden op zeer grote schaal misbruik van is gemaakt, lukte het weer om de mailserversoftware te compromitteren.

Tijdens Pwn2Own worden beveiligingsonderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten, zoals browsers, zakelijke applicaties, serversoftware en virtualisatiesoftware. Vanwege het vele thuiswerken is besloten om videobelsoftware als nieuwe categorie toe te voegen.

Een audiogesprek, videoconferentie of bericht waardoor gebruikers van Zoom of Teams zijn te compromitteren levert 200.000 dollar op. Een zelfde beloning wordt uitgekeerd voor aanvallen tegen Microsoft Exchange en het Windows remote desktopprotocol. Aanvallen in Microsoft Edge Chromium en Google Chrome waardoor er volledige controle over het onderliggende systeem kan worden verkregen zijn goed voor elk 150.000 dollar.

Een aanval tegen de virtualisatiesoftware Microsoft Hyper-V, waarbij het hostsysteem vanuit het gastsysteem kan worden overgenomen, levert 250.000 dollar op. De hoogste beloning is echter weggelegd voor een succesvolle aanval tegen een Tesla Model 3. Een aanval via de tuner, wifi, bluetooth of modem op het infotainmentsysteem kan onderzoekers 500.000 dollar rijker maken. Met aanvullende aanvallen, waarbij bijvoorbeeld de autopiloot permanent wordt gecompromitteerd, kan dit bedrag worden verhoogd naar zelfs 600.000 dollar.

Eerste dag

Tijdens de eerste dag van het driedaagse evenement zijn er verschillende succesvolle aanvallen gedemonstreerd. Als eerste liet onderzoeker Jack Dates van RET2 Systems zien hoe hij door middel van een integer overflow in Safari en een out-of-bounds write willekeurige code met kernelrechten op macOS kan uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website is hiervoor voldoende. De aanval leverde Dates 100.000 dollar op.

Securitybedrijf DEVCORE, dat in januari nog een zeer kritieke kwetsbaarheid in Exchange aan Microsoft rapporteerde, lukte het opnieuw om Exchange succesvol aan te vallen. Door middel van een authentication bypass en een privilege escalation kwetsbaarheid kunnen ze een volledig gepatchte versie van Exchange op afstand en zonder interactie van gebruikers overnemen. De demonstratie van de zeroday-aanval werd beloond met 200.000 dollar.

Vervolgens demonstreerde een onderzoeker met het alias OV een succesvolle aanval tegen Microsoft Teams. Door een combinatie van kwetsbaarheden lukte het de onderzoeker om willekeurige code op het systeem van gebruikers uit te voeren. Ook deze aanval werd beloond met 200.000 dollar.

Na deze demonstratie lieten onderzoekers van Team Viettel zien hoe ze op een volledig gepatchte versie van Windows 10 door middel van een integer overflow de rechten van een normale gebruiker kunnen verhogen naar die van het systeem. De aanval leverde 40.000 dollar op. De laatste succesvolle demonstratie van dag één werd getoond door onderzoeker Ryota Shiga van Flatt Security. Hij liet zien hoe een standaard lokale gebruiker op Ubuntu Desktop door middel van een out-of-bounds 'access bug' root kan worden.

Details over de gedemonstreerde kwetsbaarheden zijn niet openbaar gemaakt. Die worden gedeeld met de betreffende leveranciers, zodat die beveiligingsupdates kunnen ontwikkelen. Pas daarna kunnen de onderzoekers ervoor kiezen om de details te publiceren. Tijdens de tweede dag van het evenement, dat later vandaag begint, staan onder andere aanvallen tegen Zoom Messenger, Parallels Desktop, Google Chrome, Microsoft Edge en Microsoft Exchange gepland.

Reacties (22)
07-04-2021, 11:52 door Anoniem
Jammer dat ze niet testen tegen een professionele Linux desktop of server van RedHat of Suse
07-04-2021, 12:05 door Anoniem
Dank voor de melding weer redactie!
Dat wordt weer patchen.
07-04-2021, 12:05 door Anoniem
Ach, als je ziet hoe dat exchange en microsoft is gemaakt en wat voor mensen er werken, zal het nooit een veilig platform worden.
07-04-2021, 12:29 door Anoniem
Door Anoniem: Dank voor de melding weer redactie!
Dat wordt weer patchen.
Er is nog in zijn geheel geen patch beschikbaar?

Onderzoekers hebben dit vastgesteld en Microsoft zal dit oplossen. Dit keer hopelijk voor de exploits in het wild opduiken.
07-04-2021, 12:31 door _R0N_
Leuk om meteen in de subject iets te melden over Microsoft terwijl dat maar ene paar van de vele misbruikte lekken waren.
Bijvoorbeeld root exploid op Ubuntu Desktop en op MacOS
Maar die kop is minder pakkend voor Security.nl
07-04-2021, 13:15 door Anoniem
Door Anoniem: Ach, als je ziet hoe dat exchange en
microsoft is gemaakt en wat voor mensen er werken, zal het nooit een veilig platform worden.
Laat me raden..Bij Microsoft gesolliciteerd en afgewezen?

Bovendien..Microsoft is geen product..het is de naam van een bedrijf.
Ze maken o.a Exchange en Windows 10. Om het in 1 zin met "Dat Exchange en microsoft" te gooien
snap ik de afwijzing nu ook.
07-04-2021, 13:22 door Anoniem
Door _R0N_: Leuk om meteen in de subject iets te melden over Microsoft terwijl dat maar ene paar van de vele misbruikte lekken waren.
Bijvoorbeeld root exploid op Ubuntu Desktop en op MacOS
Maar die kop is minder pakkend voor Security.nl

Er zijn meer gebruikers van Microsoft Exchange en Teams, dan van Apple Safari.

Niet altijd spijkers op laag water zoeken.
07-04-2021, 14:12 door Anoniem
Waar kunnen we al die target configuraties en software versies vinden?
07-04-2021, 14:19 door Anoniem
Door Anoniem: Ach, als je ziet hoe dat exchange en microsoft is gemaakt en wat voor mensen er werken, zal het nooit een veilig platform worden.

En natuurlijk weer meteen een MS bash.
Maar jij weet het zo goed en kan het vele malen beter toch?
Dus schrijf jij even een beter platform en zet een eveneens grote multinational op zoals Gates dat deed
Mocht je dit niet kunnen omdat je zelf incompetent bent en je kennis alleen rijkt tot het klagen en bashen bespaar ons dan je o zo voorspelbare onzin comments
07-04-2021, 14:30 door Anoniem
Door Anoniem:
Door Anoniem: Dank voor de melding weer redactie!
Dat wordt weer patchen.
Er is nog in zijn geheel geen patch beschikbaar?

Onderzoekers hebben dit vastgesteld en Microsoft zal dit oplossen. Dit keer hopelijk voor de exploits in het wild opduiken.
ik zei: "dat wordt weer patchen". Dat betekent dus dat er nog geen patches beschikbaar hoeven te zijn, maar dat die in de toekomst wel zullen verschijnen.
07-04-2021, 15:11 door Anoniem
Door Anoniem: Ach, als je ziet hoe dat exchange en microsoft is gemaakt en wat voor mensen er werken, zal het nooit een veilig platform worden.

Als is ook Linux (hier Ubuntu) blijkbaar niet waterdicht.
07-04-2021, 17:57 door Anoniem
Door Anoniem:
Door Anoniem: Ach, als je ziet hoe dat exchange en microsoft is gemaakt en wat voor mensen er werken, zal het nooit een veilig platform worden.

Als is ook Linux (hier Ubuntu) blijkbaar niet waterdicht.
Geen enkel OS is waterdicht.
Dit komt doordat mensen fouten kunnen maken en de software is ontworpen door de mens.
07-04-2021, 17:58 door walmare
Door Anoniem:
Door Anoniem: Ach, als je ziet hoe dat exchange en microsoft is gemaakt en wat voor mensen er werken, zal het nooit een veilig platform worden.

Als is ook Linux (hier Ubuntu) blijkbaar niet waterdicht.
Onzin opmerking, elke week worden er gaten gedicht. Deze zijn alleen niet zo ernstig als bij Exchange of win10.
Verder is Linux alleen maar een kernel. De target was een Ubuntu desktop met een Local Privilege Escalation. Je moet er dus nog wel eerst op zien te komen en dat is niet gelukt. De configuratie (wel of niet selinux aan etc) is ook niet bekend? Wel jammer dat ze geen enterprise desktop van Redhat of Suse hebben geprobeerd.
08-04-2021, 08:12 door Bitje-scheef
Door Anoniem:
Door Anoniem: Ach, als je ziet hoe dat exchange en microsoft is gemaakt en wat voor mensen er werken, zal het nooit een veilig platform worden.

En natuurlijk weer meteen een MS bash.
Maar jij weet het zo goed en kan het vele malen beter toch?
Dus schrijf jij even een beter platform en zet een eveneens grote multinational op zoals Gates dat deed
Mocht je dit niet kunnen omdat je zelf incompetent bent en je kennis alleen rijkt tot het klagen en bashen bespaar ons dan je o zo voorspelbare onzin comments

Sorry, maar met deze bash ben ik het wel eens. Exchange is gatenkaas en blijft gatenkaas. Office, met name outlook en Teams zijn zeker de laatste jaren vooral broddelwerk (on premise versies). Updates zijn weer van zeer matige kwaliteit sinds de overschakeling naar testen op Virtual Machines en het weggaan van een manager die verantwoordelijk was voor de updates.

W10 is redelijk. SQL is een wereldproduct van ze. MS is niet in alles slecht, zeker niet. Maar sommige producten.....
08-04-2021, 10:22 door Anoniem
Door Anoniem:
Door _R0N_: Leuk om meteen in de subject iets te melden over Microsoft terwijl dat maar ene paar van de vele misbruikte lekken waren.
Bijvoorbeeld root exploid op Ubuntu Desktop en op MacOS
Maar die kop is minder pakkend voor Security.nl

Er zijn meer gebruikers van Microsoft Exchange en Teams, dan van Apple Safari.

Niet altijd spijkers op laag water zoeken.

En daarom ook een van de grootste interessante targets om te hacken.
Niet sip kijken omdat je OSX verder onderaan de hack ladder staat. Maar niet getreurd, ook OSX werd gepwnd. :P
08-04-2021, 10:39 door Anoniem
Door Bitje-scheef:
Door Anoniem:
Door Anoniem: Ach, als je ziet hoe dat exchange en microsoft is gemaakt en wat voor mensen er werken, zal het nooit een veilig platform worden.

En natuurlijk weer meteen een MS bash.
Maar jij weet het zo goed en kan het vele malen beter toch?
Dus schrijf jij even een beter platform en zet een eveneens grote multinational op zoals Gates dat deed
Mocht je dit niet kunnen omdat je zelf incompetent bent en je kennis alleen rijkt tot het klagen en bashen bespaar ons dan je o zo voorspelbare onzin comments

Sorry, maar met deze bash ben ik het wel eens. Exchange is gatenkaas en blijft gatenkaas. Office, met name outlook en Teams zijn zeker de laatste jaren vooral broddelwerk (on premise versies). Updates zijn weer van zeer matige kwaliteit sinds de overschakeling naar testen op Virtual Machines en het weggaan van een manager die verantwoordelijk was voor de updates.

W10 is redelijk. SQL is een wereldproduct van ze. MS is niet in alles slecht, zeker niet. Maar sommige producten.....
SQL is eigenlijk Sybase SQL Server . Niet ontworpen door Microsoft maar wel een goed product. Exchange is inderdaad een verschrikkelijk slecht product. Ik heb het in onderhoud maar durf het eigenlijk niet live te migreren.
08-04-2021, 12:34 door Anoniem
Door Anoniem:
Door Anoniem:
Door _R0N_: Leuk om meteen in de subject iets te melden over Microsoft terwijl dat maar ene paar van de vele misbruikte lekken waren.
Bijvoorbeeld root exploid op Ubuntu Desktop en op MacOS
Maar die kop is minder pakkend voor Security.nl

Er zijn meer gebruikers van Microsoft Exchange en Teams, dan van Apple Safari.

Niet altijd spijkers op laag water zoeken.

En daarom ook een van de grootste interessante targets om te hacken.
Niet sip kijken omdat je OSX verder onderaan de hack ladder staat. Maar niet getreurd, ook OSX werd gepwnd. :P
Nee exchange is alleen interessant omdat het zo veel kwetsbaarheden heeft (laaghangend fruit) niet omdat het exchange is. Het komt toevallig voorbij in de scan zeg maar.
08-04-2021, 12:39 door Anoniem

Onzin opmerking, elke week worden er gaten gedicht. Deze zijn alleen niet zo ernstig als bij Exchange of win10.
Verder is Linux alleen maar een kernel.

Enkel een kernel, en zelfs die heeft cruciale security fouten. Ook nu weer een artikel over geschreven (bleeding tooth).



De configuratie (wel of niet selinux aan etc) is ook niet bekend? Wel jammer dat ze geen enterprise desktop van Redhat of Suse hebben geprobeerd.
Verhaal vd configuratie wordt bij Windows ook vaak niet meegenomen.
Heb bijvoorbeeld ook nog niet over vulnerabilities gelezen in security features als Device guard en credential guard bijvoorbeeld.

Bijna altijd gaat het om kwetsbaarheden die misbruikt kunnen worden wanneer je niet de aanbevolen security configuratie hanteert.
08-04-2021, 12:57 door Anoniem

Nee exchange is alleen interessant omdat het zo veel kwetsbaarheden heeft (laaghangend fruit) niet omdat het exchange is. Het komt toevallig voorbij in de scan zeg maar.
Weet iemand waarom Exchange als product 'extreem onveilig' zou zijn/is, maar de door Microsoft zelf beheerde Exchange servers (Exchange online) nog nooit grote kwetsbaarheden hebben laten zien?
08-04-2021, 14:05 door walmare - Bijgewerkt: 08-04-2021, 14:07
Door Anoniem:

Onzin opmerking, elke week worden er gaten gedicht. Deze zijn alleen niet zo ernstig als bij Exchange of win10.
Verder is Linux alleen maar een kernel.

Enkel een kernel, en zelfs die heeft cruciale security fouten. Ook nu weer een artikel over geschreven (bleeding tooth).



De configuratie (wel of niet selinux aan etc) is ook niet bekend? Wel jammer dat ze geen enterprise desktop van Redhat of Suse hebben geprobeerd.
Verhaal vd configuratie wordt bij Windows ook vaak niet meegenomen.
Heb bijvoorbeeld ook nog niet over vulnerabilities gelezen in security features als Device guard en credential guard bijvoorbeeld.

Bijna altijd gaat het om kwetsbaarheden die misbruikt kunnen worden wanneer je niet de aanbevolen security configuratie hanteert.
Kijk dat is nu een groot verschil met Windows. Het is sneller gepatcht en kan afgepeld worden tot het meest noodzakelijke. Hoe zo zou je bluetooth op een server aanwillen? Als er geen patch zou zijn kan je bluetooth ook makkelijk uitzetten via blocklisting kernel modules in the Linux kernel. Ik zag laast een windows server met een touchscreen blokjes interface. Hoe zo op een server? en probeer die GUI maar eens uit te zetten. Het windowsaanvalsoppervlak is vele malen groter en dus een zeer groot nadeel.

De configuratie van windows wordt inderdaad vaak niet meegenomen omdat het een monocultuur is! Nog zo'n groot nadeel Dat zie je nu. Malware maakt korte metten met de windows monocultuur. Vb van monocultuur https://nl.wikipedia.org/wiki/Ierse_hongersnood_(1845-1850)
08-04-2021, 19:17 door walmare
Door Anoniem:

Nee exchange is alleen interessant omdat het zo veel kwetsbaarheden heeft (laaghangend fruit) niet omdat het exchange is. Het komt toevallig voorbij in de scan zeg maar.
Weet iemand waarom Exchange als product 'extreem onveilig' zou zijn/is, maar de door Microsoft zelf beheerde Exchange servers (Exchange online) nog nooit grote kwetsbaarheden hebben laten zien?
Dat komt omdat Microsoft je dat niet vertelt. Het begint al met dat MS zich aan de voorkant verraadt (Windows Server 2016 Microsoft-IIS/10.0 powered by ASP.NET) Een hele lage score (R) https://securityheaders.com/?q=https%3A%2F%2Fadmin.exchange.microsoft.com Vulnerabilities kan je zelf opzoeken. Exchangeonline maakt deel uit van Office365 Over 70% of O365 business users suffer at least one compromised account each month. https://www.coreview.com/blog/office-365-vulnerabilities-hacks-and-attacks/
09-04-2021, 13:17 door Anoniem
Door walmare:
Door Anoniem:
Weet iemand waarom Exchange als product 'extreem onveilig' zou zijn/is, maar de door Microsoft zelf beheerde Exchange servers (Exchange online) nog nooit grote kwetsbaarheden hebben laten zien?
Dat komt omdat Microsoft je dat niet vertelt.

Dus jij zegt dat Microsoft zwaar illegaal bezig is en alle eisen omtrent het publiceren van deze gegevens negeerd?
En dat geen enkel commercieel bedrijf of regering hierover een aanklacht indient?

Door walmare:
Exchangeonline maakt deel uit van Office365 Over 70% of O365 business users suffer at least one compromised account each month. https://www.coreview.com/blog/office-365-vulnerabilities-hacks-and-attacks/

Leuk, maar 0,0 relevant: ze hebben hier hier over beheerders die in phishing mails trappen en vervolgens gevoelige informatie prijsgeven. Of gecompromitteerde credentials die gebruikt worden om malware te uploaden: heeft 0,0 te maken met een bug in Exchange.

M'n vraag blijft dus helaas onbeantwoord :(
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.