Actueel — Security updates
Op 8 september 2020 heeft Microsoft bekend gemaakt dat er een kwetsbaarheid is gevonden in Exchange Server. Hierdoor kan een geauthenticeerde aanvaller op afstand misbruik maken van deze kwetsbaarheid. De aanvaller dient hiervoor een speciaal opgemaakte email te sturen naar de server. Hier is verder geen gebruikersinteractie bij nodig. Nadere details over hoe de email eruit zou moeten zien, zijn op dit moment niet bekend. [Update 17 september – met meer details over deze kwetsbaarheid]
De volgende versies zijn kwetsbaar:
- Exchange Server 2016 (on-premise)
- Exchange Server 2019 (on-premise)
Het gaat hierbij om een server die zelf gehost wordt. Deze kwetsbaarheid is niet van toepassing op Exchange Online.
Omschrijving
Er bevindt zich een ernstige kwetsbaarheid in Microsoft Exchange Server. De kwetsbaarheid ontstaat door een onjuiste afhandeling van objecten in het geheugen. Bij succesvol misbruik van deze kwetsbaarheid stelt het een niet-geauthenticeerde kwaadwillende op afstand in staat om willekeurige code uit te voeren met SYSTEM-rechten. Een voorwaarde voor misbruik is het versturen van een malafide email naar een kwetsbare Microsoft Exchange Server. Het NCSC heeft een advies uitgebracht over deze kwetsbaarheden, zie deze link.. Zij schalen kans/impact als hoog/hoog in.
Kwetsbare software versies
De hieronder vermelde Exchange Server versies die niet de vermelde cumulatieve update bevatten zijn kwetsbaar.
- Microsoft Exchange Server 2016 < Cumulative Update 16 / 17
- Microsoft Exchange Server 2019 < Cumulative Update 5 / 6
Mitigatie
Microsoft heeft security updates vrijgegeven die deze kwetsbaarheden oplossen:
- https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-16875
- https://support.microsoft.com/ca-es/help/4577352/security-update-for-exchange-server-2019-and-2016
Advies
PQR adviseert om de onderstaande updates zo spoedig mogelijk te installeren. Voor de managed services klanten van PQR zijn deze updates inmiddels geïnstalleerd of ingepland.
| Product | Artikel | Download |
| Microsoft Exchange Server 2016 Cumulative Update 16 | 4577352 | Security Update |
| Microsoft Exchange Server 2016 Cumulative Update 17 | 4577352 | Security Update |
| Microsoft Exchange Server 2019 Cumulative Update 5 | 4577352 | Security Update |
| Microsoft Exchange Server 2019 Cumulative Update 6 | 4577352 | Security Update |
Update 17 september 2020
Inmiddels zijn er meer details over de aard van de kwetsbaarheid. De kwetsbaarheid betreft specifiek de verwerking van een nieuwe Data Loss Prevention (DLP) policy, via het New-DlpPolicy commando. Er vindt niet genoeg validatie plaats op de inhoud van een request, wat kan leiden tot het uitvoeren van willekeurige code.
Om de aanval uit te kunnen voeren moet aan een gebruiker de rol ‘Data Loss Prevention’ toegewezen zijn in Active Directory. Zonder deze rol kan een aanvraag voor het aanmaken van een DLP-policy niet worden uitgevoerd. In tegenstelling tot ons eerdere bericht is authenticatie dus wel benodigd om een aanval uit te voeren. Indien een aanvaller echter valide inloggegevens heeft door bijvoorbeeld een succesvolle phishing-aanval, zou een aanvaller zich via deze weg nog steeds verder binnen een netwerk kunnen bewegen. Daarnaast is inmiddels een proof-of-concept beschikbaar gekomen waarmee iemand met credentials in staat is de aanval uit te voeren.
Advies
Het eerder genoemde advies blijft van kracht: voer zo snel mogelijk de updates uit om de kwetsbaarheid te mitigeren. Indien de patch niet op korte termijn kan worden geïnstalleerd, raden we dringend aan om de gebruikers met de rol ‘Data Loss Prevention’ extra te informeren en alert te maken op bescherming van hun account.
Heeft u meer advies nodig of hulp? Neem contact op met PQR!
Geplaatst door
