Am 13.02.2020 hat Microsoft Updates für alle Exchange Server Versionen für die Schwachstelle CVE-2020-0688 veröffentlicht. Falls noch nicht geschehen sollte das Update möglichst zeitnah installiert werden, da nun bekannt ist, wie sich die Lücke ausnutzen lässt. Zwar muss sich sich ein Angreifer zuvor am Exchange Server authentifizieren, danach ist es aber möglich die Kontrolle über den Exchange Server zu übernehmen. Da Exchange Server über sehr weitreichende Berechtigungen im Active Directory verfügen, ist des durchaus denkbar mit der beschrieben Schwachstelle auch weitere Teile des Netzwerks zu übernehmen.
Auf der folgenden Seite ist beschrieben, was genau das Problem ist und wie sich die Schwachstelle ausnutzen lässt:
Das folgende Video (ebenfalls von der oben verlinkten Seite) zeigt die Ausnutzung der Schwachstelle:
Übrigens sind in diesem Fall auch die meisten WAFs machtlos, denn das Ausnutzen der Lücke wird zumindest von der Sophos UTM WAF und der Kemp WAF nicht als Angriff erkannt.
Die Schwachstelle steckt übrigens im Exchange Admin Center (/ecp). Wenn das Exchange Admin Center nicht aus dem Internet erreichbar ist, kann diese Lücke übrigens zumindest nicht aus dem Internet ausgenutzt werden. Der Zugriff auf das Exchange Admin Center lässt sich bei Exchange 2019 Servern mittels „Client Access Rules“ steuern:
Exchange 2019: Client Access Rules
Für Exchange 2016 funktioniert dies noch etwas anders:
Man kann den Zugriff auf das ECP von Exchange von außen auch über die UTM ausschalten, und zwar mit der Access Control im WAF
3 Maschinen gepatcht. Alles gut.
Die Downlod-Seite für de-de ist nicht verfügbar.
Wie lange ist das schon so?