Berichtgeving van Microsoft eerder deze week sprak over twee kwetsbaarheden in bepaalde versies van Microsoft Exchange Server. Verder onderzoek van het PQR-securityteam wees uit dat deze berichtgeving niet volledig is. Eerder werd vermeld dat alleen de volgende Exchange Server-versies kwetsbaar zijn:

  • Microsoft Exchange 2010 Service Pack 3 Update Rollup 30
    • enkel de eerste kwetsbaarheid, CVE-2020-0688
  • Microsoft Exchange Server 2013 Cumulative Update 23
  • Microsoft Exchange Server 2016 Cumulative Update 14
  • Microsoft Exchange Server 2016 Cumulative Update 15
  • Microsoft Exchange Server 2019 Cumulative Update 3
  • Microsoft Exchange Server 2019 Cumulative Update 4

MAAR: Alle niet genoemde voorgaande versies van Microsoft Exchange zijn ook kwetsbaar! Microsoft biedt alleen patches aan voor de hierboven genoemde versies.

De kwetsbaarheden

Er zijn twee ernstige kwetsbaarheden ontdekt in Microsoft Exchange Server. De eerste kwetsbaarheid (CVE-2020-0688) betreft een ‘remote code execution’-kwetsbaarheid. Dit betekent dat geauthentiseerde gebruikers willekeurige code kunnen uitvoeren op installaties van dit product, mits ze specifieke kennis van bepaalde systeemparameters hebben. Dit betreft enkel geauthentiseerde gebruikers, maar omdat er via het netwerk willekeurige code uitgevoerd kan worden, schaalt PQR deze kwetsbaarheid in op een hoge impact. Aangezien er publieke exploit-code beschikbaar is, schatten we de kans van optreden ook in als hoog. Op internet is verkeer te zien dat actief scant naar deze kwetsbaarheid. Meer achtergrondinformatie kan hier gevonden worden.

De tweede kwetsbaarheid (CVE-2020-0692) behelst een ‘elevation of privilege’-kwetsbaarheid. Dit betekent dat aanvallers die deze kwetsbaarheid uit weten te buiten, zichzelf dezelfde rechten kunnen toeëigenen als een willekeurige andere gebruiker, waaronder administrator-rechten. Voor deze kwetsbaarheid moet Exchange Web Services (EWS) ingeschakeld en in gebruik zijn. Omdat een ongeauthentiseerde aanvaller deze kwetsbaarheid op afstand kan uitvoeren en administratieve rechten kan verwerken, schaalt PQR deze kwetsbaarheid in op impact hoog, kans op optreden hoog, ondanks dat hier nog geen publieke exploits voor bekend zijn.

Het NCSC heeft een advies uitgebracht over deze kwetsbaarheden, zij. Zij schalen kans/impact als hoog/hoog in.

Kwetsbare softwareversies

De hieronder vermelde Exchange Server-versies inclusief alle voorgaande oudere versies.

Product Update Opmerking
Microsoft Exchange 2010 Service Pack 3 Update Rollup 30 Alleen CVE-2020-0688 is van toepassing
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 14
Microsoft Exchange Server 2016 Cumulative Update 15
Microsoft Exchange Server 2019 Cumulative Update 3
Microsoft Exchange Server 2019 Cumulative Update 4

Mitigatie

Microsoft heeft securityupdates vrijgegeven die deze kwetsbaarheden oplossen. Ze kunnen gevonden worden op bovengenoemde links over de kwetsbaarheden.

Advies

PQR adviseert deze updates zo spoedig mogelijk te installeren. Hiervoor dient de Microsoft Exchange-omgeving eerst te worden geüpdatet naar een van de hieronder vermelde versies alvorens de security patch kan worden geïnstalleerd.

Product Update Artikel Download
Microsoft Exchange 2010 Service Pack 3 Update Rollup 30 4536989 Security Update
Microsoft Exchange Server 2013 Cumulative Update 23 4536988 Security Update
Microsoft Exchange Server 2016 Cumulative Update 15 4536987 Security Update
Microsoft Exchange Server 2019 Cumulative Update 4 4536987 Security Update

Verdere vragen naar aanleiding van dit bericht? Neem contact met ons op.

contact

Geplaatst door

PQR

PQR streeft elke dag naar de hoogste kwaliteit producten, diensten en service. Strategisch adviseur voor moderne software defined datacenter- en workspaceoplossingen. IT-advies. Future workspace.