Actueel — Security updates
Berichtgeving van Microsoft eerder deze week sprak over twee kwetsbaarheden in bepaalde versies van Microsoft Exchange Server. Verder onderzoek van het PQR-securityteam wees uit dat deze berichtgeving niet volledig is. Eerder werd vermeld dat alleen de volgende Exchange Server-versies kwetsbaar zijn:
- Microsoft Exchange 2010 Service Pack 3 Update Rollup 30
- enkel de eerste kwetsbaarheid, CVE-2020-0688
- Microsoft Exchange Server 2013 Cumulative Update 23
- Microsoft Exchange Server 2016 Cumulative Update 14
- Microsoft Exchange Server 2016 Cumulative Update 15
- Microsoft Exchange Server 2019 Cumulative Update 3
- Microsoft Exchange Server 2019 Cumulative Update 4
MAAR: Alle niet genoemde voorgaande versies van Microsoft Exchange zijn ook kwetsbaar! Microsoft biedt alleen patches aan voor de hierboven genoemde versies.
De kwetsbaarheden
Er zijn twee ernstige kwetsbaarheden ontdekt in Microsoft Exchange Server. De eerste kwetsbaarheid (CVE-2020-0688) betreft een ‘remote code execution’-kwetsbaarheid. Dit betekent dat geauthentiseerde gebruikers willekeurige code kunnen uitvoeren op installaties van dit product, mits ze specifieke kennis van bepaalde systeemparameters hebben. Dit betreft enkel geauthentiseerde gebruikers, maar omdat er via het netwerk willekeurige code uitgevoerd kan worden, schaalt PQR deze kwetsbaarheid in op een hoge impact. Aangezien er publieke exploit-code beschikbaar is, schatten we de kans van optreden ook in als hoog. Op internet is verkeer te zien dat actief scant naar deze kwetsbaarheid. Meer achtergrondinformatie kan hier gevonden worden.
De tweede kwetsbaarheid (CVE-2020-0692) behelst een ‘elevation of privilege’-kwetsbaarheid. Dit betekent dat aanvallers die deze kwetsbaarheid uit weten te buiten, zichzelf dezelfde rechten kunnen toeëigenen als een willekeurige andere gebruiker, waaronder administrator-rechten. Voor deze kwetsbaarheid moet Exchange Web Services (EWS) ingeschakeld en in gebruik zijn. Omdat een ongeauthentiseerde aanvaller deze kwetsbaarheid op afstand kan uitvoeren en administratieve rechten kan verwerken, schaalt PQR deze kwetsbaarheid in op impact hoog, kans op optreden hoog, ondanks dat hier nog geen publieke exploits voor bekend zijn.
Het NCSC heeft een advies uitgebracht over deze kwetsbaarheden, zij. Zij schalen kans/impact als hoog/hoog in.
Kwetsbare softwareversies
De hieronder vermelde Exchange Server-versies inclusief alle voorgaande oudere versies.
| Product | Update | Opmerking |
| Microsoft Exchange 2010 Service Pack 3 | Update Rollup 30 | Alleen CVE-2020-0688 is van toepassing |
| Microsoft Exchange Server 2013 | Cumulative Update 23 | – |
| Microsoft Exchange Server 2016 | Cumulative Update 14 | – |
| Microsoft Exchange Server 2016 | Cumulative Update 15 | – |
| Microsoft Exchange Server 2019 | Cumulative Update 3 | – |
| Microsoft Exchange Server 2019 | Cumulative Update 4 | – |
Mitigatie
Microsoft heeft securityupdates vrijgegeven die deze kwetsbaarheden oplossen. Ze kunnen gevonden worden op bovengenoemde links over de kwetsbaarheden.
Advies
PQR adviseert deze updates zo spoedig mogelijk te installeren. Hiervoor dient de Microsoft Exchange-omgeving eerst te worden geüpdatet naar een van de hieronder vermelde versies alvorens de security patch kan worden geïnstalleerd.
| Product | Update | Artikel | Download |
| Microsoft Exchange 2010 Service Pack 3 | Update Rollup 30 | 4536989 | Security Update |
| Microsoft Exchange Server 2013 | Cumulative Update 23 | 4536988 | Security Update |
| Microsoft Exchange Server 2016 | Cumulative Update 15 | 4536987 | Security Update |
| Microsoft Exchange Server 2019 | Cumulative Update 4 | 4536987 | Security Update |
Verdere vragen naar aanleiding van dit bericht? Neem contact met ons op.
Geplaatst door
