image

Kritiek beveiligingslek in Exchange laat aanvaller alle mailboxes overnemen

woensdag 10 augustus 2022, 11:00 door Redactie, 6 reacties

In Microsoft Exchange Server zitten drie kritieke kwetsbaarheden waardoor een aanvaller de mailboxes van alle gebruikers op de server kan overnemen. Vervolgens is het mogelijk om e-mails vanuit de mailboxes te versturen of te lezen en bijlagen te downloaden. Microsoft heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. De drie beveiligingslekken (CVE-2022-21980, CVE-2022- 24516 en CVE-2022-24477) vallen in de categorie "Elevation of Privilege" (EoP).

Via dergelijke kwetsbaarheden kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen. Aangezien een aanvaller bij EoP-lekken geauthenticeerd moet zijn wordt de impact van dergelijke kwetsbaarheden vaak lager ingeschaald dan beveiligingslekken waarmee systemen op afstand zijn over te nemen. Ook in het geval van de drie Exchange-lekken moet een aanvaller zich op de Exchange-server kunnen authenticeren.

Toch heeft Microsoft de drie kwetsbaarheden als kritiek beoordeeld. In het verleden is gebleken dat aanvallers bijvoorbeeld door middel van phishing de benodigde inloggegevens van gebruikers kunnen stelen om zich zo bij de server te authenticeren. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 8.0 en Microsoft verwacht dat aanvallers er zeer waarschijnlijk misbruik van zullen maken bij aanvallen op organisaties.

Reacties (6)
10-08-2022, 11:14 door Anoniem
Nuff Said.
10-08-2022, 13:58 door Bitje-scheef
Iedere keer hoop je bij Exchange dat dit het laatste gaatje is...helaas. More to come....
10-08-2022, 17:20 door Anoniem
Aangezien een aanvaller bij EoP-lekken geauthenticeerd moet zijn wordt de impact van dergelijke kwetsbaarheden vaak lager ingeschaald dan beveiligingslekken waarmee systemen op afstand zijn over te nemen.

De tijd dat je een patch kon uitstellen 'omdat een kwaadwillende ingelogd moet zijn' is anno 2022 echt geen instelling waar je ver mee komt.

Er is altijd wel een default account, een account met Welcome2022, of iets dergelijks en dat is als je niets gevist hebt.
10-08-2022, 17:44 door Anoniem
Door Bitje-scheef: Iedere keer hoop je bij Exchange dat dit het laatste gaatje is...helaas. More to come....

Dat hoop je toch bij alle software producten, helaas ook more to come... (Exchange geen uitzondering)
https://www.cvedetails.com/top-50-products.php
11-08-2022, 08:41 door Anoniem
Door Anoniem:
Door Bitje-scheef: Iedere keer hoop je bij Exchange dat dit het laatste gaatje is...helaas. More to come....

Dat hoop je toch bij alle software producten, helaas ook more to come... (Exchange geen uitzondering)
https://www.cvedetails.com/top-50-products.php
Daar heb je hem ook weer met zijn algemene cve lijst. Het gaat om de kritieke issues mijn beste, niet om de hoeveelheid zaadcellen maar om degene die binnen weet te dringen. Exchange is continue kritiek dat blijkt uit de praktijk. De totale hoeveelheid exchange cve's zijn niet openbaar (dat heb je met gesloten software) maar circuleert intern bij microosft die ze je niet vertellen. Daarnaast is de oplostijd van groot belang, dat doet de een slechter dan de ander. Zie de hoeveelheid zerodays bij MS procucten.
14-08-2022, 12:44 door Anoniem
Door Bitje-scheef: Iedere keer hoop je bij Exchange dat dit het laatste gaatje is...helaas. More to come....

Nee hoor, nadat ik las over die hack en het verliezen van wat broncode, dacht ik al dat komt nooit meer goed. Sinds dien heb ik ze los gekoppeld van het internet.

Als je ziet wat voor rare fouten outlook 2016/2019, server 2016, exchange 2016, dan kan je alleen maar concluderen dat het ontwikkel team daar van matige kwaliteit is. Dus als dan ineens "the security by obscurity" bescherming wegvalt, heb je voor jaren problemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.