Exchange Server: Remote Code Execution-Schwachstelle CVE-2020-16875

Publiziert am 16. September 2020 von Günter Born

[English]Administratoren von Microsoft Echange Server sollten sich um das Patchen der Remote Code Execution-Schwachstelle CVE-2020-16875 kümmern. Die Details bzw. Exploits sind nun veröffentlicht worden.

Anzeige

Die Schwachstelle CVE-2020-16875

In Microsofts Exchange Server gibt es eine Remote Code Execution-Schwachstelle. In den Details zur Schwachstelle CVE-2020-16875 schreibt Microsoft:

A remote code execution vulnerability exists in Microsoft Exchange server due to improper validation of cmdlet arguments.

An attacker who successfully exploited the vulnerability could run arbitrary code in the context of the System user. Exploitation of the vulnerability requires an authenticated user in a certain Exchange role to be compromised.

The security update addresses the vulnerability by correcting how Microsoft Exchange handles cmdlet arguments.

Aufgrund einer fehlerhaften Validierung von Cmdlet-Argumenten besteht im Microsoft Exchange-Server eine Schwachstelle bei der Remotecodeausführung. Angreifer könnten dies ausnutzen, um beliebigen Code im Kontext des Systembenutzers auszuführen. Für die Ausnutzung der Schwachstelle muss ein authentifizierter Benutzer in einer bestimmten Exchange-Rolle kompromittiert werden.

Microsoft hat zum 8. September 2020 aber Sicherheitsupdates für die betroffenen Produkte (Exchange Server 2016 und 2019) freigegeben. Das jeweilige Sicherheitsupdate 4577352 behebt die Sicherheitsanfälligkeit, indem die Auswertung von Cmdlet-Argumenten in Microsoft Exchange korrigiert wird. Microsoft stuft die Schwachstelle mit niedrigem Risiko ein (Exploitation Less Likely).

  • Microsoft Exchange Server 2016 Cumulative Update 16
  • Microsoft Exchange Server 2016 Cumulative Update 17
  • Microsoft Exchange Server 2019 Cumulative Update 5:
  • Microsoft Exchange Server 2019 Cumulative Update 6:

Gerade hat Source Incide diesen Post mit PoCs zur Schwachstelle veröffentlicht (ich habe den Hinweis über Twitter erhalten).  Diese wurde am 22. Mai 2020 an Microsoft gemeldet und zum September 2020 Patchday korrigiert. Im Post veröffentlichen die Source Incide-Leute zwar Proof of Concept-Exploits, um die Schwachstelle auszunutzen. Administratoren sollten also dafür sorgen, dass die Exchange Server gepatcht sind.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows Server abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Exchange Server: Remote Code Execution-Schwachstelle CVE-2020-16875

  1. Robert Richter sagt:
    16. September 2020 um 18:07 Uhr

    Der 2013er ist wohl nicht davon betroffen..?

    Antworten
  2. Peter C. sagt:
    17. September 2020 um 08:15 Uhr

    sind vorherige CUs (zB 13 oder 14) vom Exchange2016 ebenso betroffen?

    Antworten
    • Frank Carius sagt:
      17. September 2020 um 12:46 Uhr

      Ich würde immer davon ausgehen, dass die Bugs schon älter sind. Wurden ja im Mai 2020 erstmals gemeldet.
      Aus dem Support Statement ist klar, dass Microsoft nur die beiden aktuellsten CUs unterstützt und für ältere keinen Aufwand mehr treibt.

      Wenn ich mir die FixListe von CU15/16/17 anschaue, dann würde ich lieber heute als gestern das aktuelle CU installieren. Ja es ist ein Wartungsfenster aber Sicherheit geht vor

      Antworten

Schreibe einen Kommentar zu Frank Carius Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.