Kritiek lek in Exchange-servers maakt remote code execution via e-mail mogelijk
Een kritieke kwetsbaarheid in Exchange-servers maakt het mogelijk voor aanvallers om systemen over te nemen door alleen het versturen van een speciaal geprepareerde e-mail. Microsoft heeft gisterenavond beveiligingsupdates voor het beveiligingslek uitgebracht, dat op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,1 is beoordeeld.
Tijdens de patchdinsdag van september heeft Microsoft in totaal 129 beveiligingslekken verholpen waarvan er 23 kritiek zijn en "remote code execution" mogelijk maken. Deze kwetsbaarheden bevinden zich in Windows, Dynamics 365, SharePoint, Exchange, Windows, IE11 en Edge. De kwetsbaarheid in Exchange is volgens securitybedrijf ZDI het gevaarlijkst. Een geauthenticeerde aanvaller kan door het versturen van een e-mail code met systeemrechten uitvoeren. Het feit dat de aanvaller geauthenticeerd moet zijn houdt in dat hij op een e-mailaccount moet kunnen inloggen.
Dat blijkt in de praktijk geen obstakel te zijn. Een soortgelijke kwetsbaarheid waarvoor in februari een patch verscheen werd kort na het verschijnen van details actief aangevallen. Ook bij dit beveiligingslek kon een geauthenticeerde aanvaller door het versturen van een e-mail code met systeemrechten uitvoeren. Op deze was het mogelijk om Exchange-servers over te nemen en bijvoorbeeld het e-mailverkeer te onderscheppen en manipuleren. Het ZDI verwacht dat aanvallers op korte termijn misbruik van het nieuwe beveiligingslek zullen maken.
Organisaties worden dan ook oproepen om de beveiligingsupdate voor de Exchange-kwetsbaarheid, aangeduid als CVE-2020-16875, de hoogste prioriteit te geven. Twee andere kritieke kwetsbaarheden die de aandacht verdienen bevinden zich in de Windows Media Audio Decoder. Alleen door het bezoeken van een kwaadaardige of gecompromitteerde website kan een aanvaller willekeurige code uitvoeren. Iets wat ook mogelijk is door een lek in de Windows Codecs Library. In dit geval moet een programma een malafide afbeelding verwerken.
Het grootste deel van de verholpen kwetsbaarheden is als "Belangrijk" beoordeeld. Vier van deze beveiligingslekken bevinden zich in Microsoft Office en zullen waarschijnlijk bij phishingaanvallen worden misbruikt, zo stelt Cisco. Alleen het openen van een kwaadaardig Office-document kan een aanvaller willekeurige code op het systeem laten uitvoeren. De door Microsoft uitgebrachte beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd.
Is er iemand met voldoende kennis van Exchange die kan aangeven of dit beeld klopt?
Is er iemand met voldoende kennis van Exchange die kan aangeven of dit beeld klopt?
TLDR; alle services.
bron https://docs.microsoft.com/en-us/exchange/plan-and-deploy/deployment-ref/services-overview?view=exchserver-2019
POSHEX
bron https://docs.microsoft.com/en-us/exchange/plan-and-deploy/deployment-ref/services-overview?view=exchserver-2019
POSHEX
Aangezien er alleen maar voor CU16 en CU17 updates zijn uitgebracht (2016)
https://docs.microsoft.com/nl-nl/Exchange/new-features/updates?redirectedfrom=MSDN&view=exchserver-2016
Momenteel ontvangen alleen Exchange Server 2016 CU16 en CU17 beveiligings-updates. Alleen de huidige en de vorige Cumulative Update.
Aangezien er alleen maar voor CU16 en CU17 updates zijn uitgebracht (2016)
Er zal wel in CU16 een fout gezeten hebben die meegegaan is naar 17.. Daarom zal denk ik alleen deze patch voor deze 2 versies zijn.
Aangezien er alleen maar voor CU16 en CU17 updates zijn uitgebracht (2016)
Alleen de laatste 2 CU versies zijn ondersteund. CU15 is dus niet meer ondersteund, en zal geen update voor uitkomen.
Aangezien er alleen maar voor CU16 en CU17 updates zijn uitgebracht (2016)
Alleen de laatste 2 CU versies zijn ondersteund. CU15 is dus niet meer ondersteund, en zal geen update voor uitkomen.
Dit klopt helemaal. Advies is gewoon elk kwartaal de CU installeren (zelf doe dit altijd c.a. 1-2 weken nadat deze uitkomt). Op een LAB omgeving min of meer direct.
De Update installs zijn eigenlijk next-next upgrade installs. Uiteraard, afhankelijk van de omgeving meer of mindere mate complexe zaken waar je rekening mee moet houden en af en toe wat preqs updates die je moet uitvoeren, zoals een paar CUs geleden in Exchange 2019 van .NET 4.7 naar .NET 4.8. Microsoft is met de info hierover altijd wel duidelijk.
Cumulative updates komen elk kwartaal uit, en bevatten ook altijd de updates van de laatste 3 maanden, sinds de release. De nieuwe CU zal over c.a. 2 weken uitkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.