De laatste patch-tuesday was een belangrijke voor Microsoft. Met deze update is een remote-code-execution (RCE) kwetsbaarheid gemitigeerd in Microsoft Exchange Servers (CVE-2020-0688).
De kwetsbaarheid wordt veroorzaakt doordat er statische cryptografische sleutels worden gebruikt bij iedere installatie van een Microsoft Exchange Server. Als aanvaller kun je met deze sleutels een eigen ViewState creëren die je vervolgens naar de Exchange Server kunt sturen. Op deze manier kan een aanvaller .NET code op de server uit laten voeren. Voorwaarde is wel dat de aanvaller een account moet hebben op de Exchange Server. Echter zijn er geen speciale privileges vereist.
De impact is groot, omdat willekeurige .NET code uitvoeren kan leiden tot bijvoorbeeld een ransomware-aanval, als de Exchange Server on-premise draait.
Maak je gebruik van Microsoft Exchange Servers? Zorg dan dat je direct de laatste updates installeert zodat je niet meer kwetsbaar bent.
Tijdlijn:
- 11 Februari 2020 - Microsoft publiceert de eerste informatie over CVE-2020-0688
- 11 Februari 2020 - Microsoft patched de kwetsbaarheid op patch-tuesday
Meer informatie:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688
Heb je nog vragen naar aanleiding van deze kwetsbaarheid?
Neem dan contact met mij op!
Daan Keuper, Security Specialist
e. info@computest.nl
t. +31 (0)88 733 13 37