Kritische Sicherheitslücke in Microsoft Exchange Server - Patches verfügbar
11. September 2020
Beschreibung
Microsoft hat zum Patch Tuesday ein Advisory zu einer kritischen Sicherheitslücke in Microsoft Exchange Server veröffentlicht, bei der unter bestimmten Voraussetzungen das Ausführen von beliebigem Code ermöglicht wird. Proof-of-Concept-Code wurde bereits veröffentlicht.
CVE-Nummern: CVE-2020-16875
CVSS Base Score: 8.4
Auswirkungen
Eine unzureichende Validierung im New-DlpPolicy cmdlet von MS Exchange Server erlaubt aktiven User-Accounts mit der Rolle "Data Loss Prevention" das Erstellen von potentiell bösartigen Policy-Templates. Diese ermöglichen entfernten, authentifizierten AngreiferInnen potentiell das Ausführen von beliebigem Code mit System-Rechten und dadurch die vollständige Übernahme des Systems.
Betroffene Systeme
Betroffen sind laut Microsoft die folgenden Versionen:
- Microsoft Exchange Server 2016 Cumulative Update 16
- Microsoft Exchange Server 2016 Cumulative Update 17
- Microsoft Exchange Server 2019 Cumulative Update 5
- Microsoft Exchange Server 2019 Cumulative Update 6
Abhilfe
Einspielen der von Microsoft bereitgestellten Patches. Diese sind über die automatische Windows Update-Funktion verfügbar.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):
Microsoft Advisory (englisch)
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16875
Advisory des ursprünglichen Reporters an Microsoft und PoC-Code (englisch)
https://srcincite.io/advisories/src-2020-0019/