Eine Lücke im Exchange-Server erlaubt Remote-Code-Execution, wie ein Blogeintrag der Zero-Day-Initiative berichtet.
Aktuell ist noch nicht 100% geklärt, auf welchen Wegen die Lücke getriggert werden kann. Laut initialem Advisory von Microsoft:
Microsoft stated this bug was due to a memory corruption vulnerability and could be exploited by a specially crafted email sent to a vulnerable Exchange server.
Verifiziert ist auf jeden Fall, dass der Angriff bei Zugriff auf das Web-OWA verlässlich funktioniert.
Evtl. erklärt diese Lücke auf die Password-Spraying-Angriffe, die im Dezember und Januar vermehrt berichtet wurden.
Betroffen sind alle Versionen.
Mitigation
- Patches sind verfügbar
- OWA abstellen
Updates
- 2020-02-27 - POC verfügbar (ungetestet)
Referenzen
- CVE-2020-0688: Remote Code Execution on Microsoft Exchange Server Through Fixed Cryptographic Keys
- CVE-2020-0688 | Microsoft Exchange Validation Key Remote Code Execution Vulnerability Security Vulnerability
Fragen? Kontakt: info@zero.bs