Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

Er is een kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange ontdekt. Het gaat hier om een memory corruptie probleem in Microsoft Exchange dat het mogelijk maakt om een remote code execution (RCE) uit te voeren door een speciaal gemaakte e-mail te versturen naar een Microsoft Exchange Server van een slachtoffer.

Het laten draaien van willekeurige code op de Microsoft Exchange Server van het slachtoffer zorgt ervoor dat aanvallers zichzelf de toegang kunnen verschaffen die ze nodig hebben voor het maken van nieuwe accounts, toegang, aanpassen en verwijderen van data en het installeren van programma’s.

Aan de kritieke kwetsbaarheid is CVE-2020-16875 toegewezen en heeft de kwetsbaarheid een CVSS score van 9.1/10 gekregen.

Welke versies zijn kwetsbaar?

De volgende Microsoft Exchange Server versies zijn kwetsbaar:

  • Microsoft Exchange Server 2016 Cumulatieve Update 16;
  • Microsoft Exchange Server 2016 Cumulatieve Update 17;
  • Microsoft Exchange Server 2019 Cumulatieve Update 5;
  • Microsoft Exchange Server 2019 Cumulatieve Update 6.

Wordt de kwetsbaarheid actief misbruikt?

Volgens het Zero Day Initiative moet deze kwetsbaarheid snel gepatcht worden en is dit de ernstigste kwetsbaarheid van de Patch Tuesday van September 2020. Als voorbeeld wordt de eerdere gepatchte kwetsbaarheid CVE-2020-0688 aangehaald waar actief misbruik van werd gemaakt, omdat meerdere bedrijven de patch niet hadden doorgevoerd zelf wanneer de patch 2 maanden beschikbaar was. Toen deze kwetsbaarheid net bekend werd hebben wij hier een artikel over geschreven.

Zero Day Initiative geeft daarom aan dat de kwetsbaarheid CVE-2020-16875 naar verwachting snel in het wild misbruikt zal gaan worden en dit de hoogste prioriteit moet krijgen in het patchen van kwetsbaarheden.

Microsoft zelf geen aan dat het misbruik minder snel verwacht “2 – Exploitation Less Likely” op dit moment.

Updates beschikbaar?

Microsoft heeft voor alle onderstaande versies security updates beschikbaar gemaakt:

  • Microsoft Exchange Server 2016 Cumulatieve Update 16;
  • Microsoft Exchange Server 2016 Cumulatieve Update 17;
  • Microsoft Exchange Server 2019 Cumulatieve Update 5;
  • Microsoft Exchange Server 2019 Cumulatieve Update 6.

Workaround of mitigatie beschikbaar?

Er zijn voor deze kwetsbaarheid geen workarounds of mitigaties beschikbaar.

 

Andere kwetsbaarheden in de patch Tuesday van september

Een andere kritieke RCE kwetsbaarheid is CVE-2020-1210, deze is aanwezig in SharePoint door een fout in de controle van de bronopmaak van een applicatiepakket. Deze heeft een CVSS score van 9.9/10 gekregen. Een aanvaller moet een SharePoint applicatiepakket uploaden naar een kwetsbaren SharePoint site.

Er zitten in totaal 7 RCE kwetsbaarheden in SharePoint, waarvan er slecht 1, CVE-2020-1460, authenticatie vereist.

Ook zit er een kritieke RCE kwetsbaarheid in Windows Graphic Device Interface (WGDI) (CVE-2020-1285). Dit komt door de manier hoe WGDI omgaat met objecten in het memory, waardoor er zowel web gebaseerde als bestandsdeling aanvalsscenario’s ontstaat. Hierdoor heeft een aanvaller meerdere mogelijkheden om een systeem over te nemen.

Verder zijn er ook nog andere RCE kwetsbaarheden, zoals in Microsoft Windows Codecs Library (CVE-2020-1129) welke een CVSS score van 8.8/10 heeft. Deze Library wordt gebruikt door verschillende applicaties. Een aanvaller kan code uitvoeren op de machine van een slachtoffer door deze een “gewapende” video te laten bekijken.

In totaal zijn er 129 kwetsbaarheden gepatcht door Microsoft voor de patch Tuesday van september 2020.

Advies

Er wordt geadviseerd aan iedereen die gebruik maakt van de kwetsbare Microsoft Exchange Server 2016 en 2019 versies om de security updates z.s.m. te installeren om niet kwetsbaar te zijn wanneer deze kwetsbaarheid binnenkort in het wild misbruikt gaat worden.

Er zijn geen workarounds of mitigaties beschikbaar, daarom is het belangrijk om de security updates te installeren.

Daarnaast wordt er geadviseerd om ook de andere kwetsbaarheden te patchen in dien van toepassing, aangezien er meerdere kritieke kwetsbaarheden zijn die voldoende prioriteit moeten krijgen om te patchen.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

Cisco IOS XR zero-day kwetsbaarheid actief misbruikt
Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen

Gerelateerde berichten

cisco

Onderzoeker onthult kritieke RCE-tekortkomingen in Cisco Security Manager

Ransomware

Gestolen data na een ransomware aanval wordt niet altijd verwijderd

Oracle

Oracle brengt noodpatch uit voor kritieke kwetsbaarheid in WebLogic Server

Microsoft 365

Grootste gedeelte van Microsoft 365 administrators activeert MFA niet

RYUK ransomware

Ryuk ransomware gang maakt gebruikt van Zerologon voor zeer snelle aanval

emotet

Nieuwe Emotet aanval met neppe Windows updates

Android ransomware

Nieuwe Android ransomware wordt door Microsoft voor gewaarschuwd

QR code

QR codes zijn handig, maar ook een Cybersecurity dreiging

Microsoft

Grote toename in pogingen tot misbruik Zerologon kwetsbaarheid in 1 week tijd

security awareness training

Security Awareness trainingen moeten regelmatig herhaald worden

Microsoft

Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen

cisco

Cisco IOS XR zero-day kwetsbaarheid actief misbruikt

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

19 − 14 =

Menu