image

NSA ontdekt opnieuw beveiligingslek in Exchange dat RCE mogelijk maakt

woensdag 13 oktober 2021, 12:34 door Redactie, 10 reacties

De Amerikaanse geheime dienst NSA heeft opnieuw een kwetsbaarheid in Exchange Server ontdekt waardoor remote code execution mogelijk is. Eerder dit jaar ontdekte en rapporteerde de dienst twee Exchange-kwetsbaarheden aan Microsoft (CVE-2021-28480 en CVE-2021-28481). Het nu verholpen beveiligingslek, waarvoor Microsoft gisteren een beveiligingsupdate uitbracht, wordt aangeduid als CVE-2021-26427.

Via de kwetsbaarheid kan een aanvaller willekeurige code uitvoeren en zo de server overnemen. Het beveiligingslek is echter niet vanaf het internet te misbruiken en vereist iets dat aan de aan te vallen server is gekoppeld, aldus Microsoft. Het gaat dan bijvoorbeeld om een bluetooth-verbinding, een logisch netwerk, zoals een lokaal ip-subnet, of een beveiligd of ander beperkt beheerdersdomein. Het meest aannemelijke scenario volgens Microsoft is een man-in-the-middle-aanval of een situatie waarbij er een andere omgeving in de buurt van Exchange-server is gecompromitteerd.

Dustin Childs van het Zero Day Initiative vermoedt, op basis van het CVE-nummer, dat de kwetsbaarheid al begin dit jaar tegelijkertijd met de andere twee Exchange-kwetsbaarheden door de NSA is gerapporteerd. Die twee beveiligingslekken waren veel ernstiger en wel vanaf het internet te misbruiken. Naast CVE-2021-26427 zijn er gisteren drie andere kwetsbaarheden in Exchange verholpen die een denial of service-aanval mogelijk maken, een aanvaller die al toegang tot een server heeft zijn rechten laten verhogen of tot spoofing kunnen leiden.

Microsoft zegt niet bekend te zijn met aanvallen die misbruik van de vier kwetsbaarheden maken, maar roept organisaties op om de beveiligingsupdates voor Exchange meteen te installeren.

Reacties (10)
13-10-2021, 14:44 door Anoniem
Het CVE nummer zelf zegt niks, deze nummers zijn vaak al vooraf gealloceerd voor een bedrijf zoals Microsoft.
13-10-2021, 16:18 door -Peter-
Deze lijkt dus wel al enkele maanden misbruikt te worden:
https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/

Peter
13-10-2021, 16:32 door Anoniem
Door Anoniem: Het CVE nummer zelf zegt niks, deze nummers zijn vaak al vooraf gealloceerd voor een bedrijf zoals Microsoft.
Niet volgens:
https://www.cve.org/About/Process
Vulnerabilities are first discovered, then reported to the CVE Program. The reporter requests a CVE ID, which is then reserved for the reported vulnerability. Once the reported vulnerability is confirmed by the identification of the minimum required data elements for a CVE Record, the record is published to the CVE List.
13-10-2021, 19:44 door walmare - Bijgewerkt: 13-10-2021, 19:44
En weer een externe partij die een grote kwetsbaarheid rapporteert. Je vraagt je af vindt Microsoft zelf wel eens wat?
14-10-2021, 09:40 door Anoniem
Door -Peter-: Deze lijkt dus wel al enkele maanden misbruikt te worden:
https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/

Peter

Dat is een hele andere kwetsbaarheid: CVE-2021-40449
14-10-2021, 09:57 door [Account Verwijderd]
Door walmare: En weer een externe partij die een grote kwetsbaarheid rapporteert. Je vraagt je af vindt Microsoft zelf wel eens wat?

Ik denk dat ze zelf héél, héél erg veel vinden maar daar zullen we nooit iets van horen. Want met closed source is het gemakkelijk om het gevondene voorlopig te negeren en te wachten tot een klant ertegenaan loopt en dan verrast te reageren met "goh, een bugje".
14-10-2021, 11:37 door Anoniem
Door walmare: En weer een externe partij die een grote kwetsbaarheid rapporteert. Je vraagt je af vindt Microsoft zelf wel eens wat?
En in plaats van nutteloze fud achtige opmerkingen te plaatsen kan je ook het antwoord met kleine moeite snel vinden en mocht je echt erin geïnteresseerd zijn is dat ja: https://msrc.microsoft.com/update-guide/acknowledgement
Verschillende Microsoft medewerkers worden met naam bedankt.
14-10-2021, 12:05 door Anoniem
Door walmare: En weer een externe partij die een grote kwetsbaarheid rapporteert. Je vraagt je af vindt Microsoft zelf wel eens wat?
Dan zou je even moeten kijken naar de maandelijkse security updates die Microsoft uitbrengt.
Indien hier updates tussen zitten niet gerelateerd aan een kwetsbaarheid die door een externe is gevonden, zal het dus een door hunzelf gevonden kwetsbaarheid zijn.
14-10-2021, 13:58 door Anoniem
Door Anoniem:
Door walmare: En weer een externe partij die een grote kwetsbaarheid rapporteert. Je vraagt je af vindt Microsoft zelf wel eens wat?
En in plaats van nutteloze fud achtige opmerkingen te plaatsen kan je ook het antwoord met kleine moeite snel vinden en mocht je echt erin geïnteresseerd zijn is dat ja: https://msrc.microsoft.com/update-guide/acknowledgement
Verschillende Microsoft medewerkers worden met naam bedankt.
In dat lijstje staat maar 1 Microsoft medewerker en dan ook nog Information Disclosure Vulnerability. De rest is allemaal extern!! of te wel topje van de ijsberg
15-10-2021, 20:17 door Anoniem
Door -Peter-: Deze lijkt dus wel al enkele maanden misbruikt te worden:
https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/

Peter

Ik heb al sinds de eerste meldingen en die solarwinds hack de exchange server https poort alleen maar open gesteld voor bepaalde ip adressen. Alleen maar syncen/versturen email vanaf kantoor / thuis. Heb je een mail server, kan je hem niet eens continu gebruiken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.