-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.01 #############################
Titel : Kwetsbaarheden verholpen in Microsoft Exchange
Advisory ID : NCSC-2021-0608
Versie : 1.01
Kans : high
CVE ID : CVE-2021-31196, CVE-2021-31206, CVE-2021-33766,
CVE-2021-33768, CVE-2021-34470, CVE-2021-34473,
CVE-2021-34523
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
(Remote) code execution (Gebruikersrechten)
Toegang tot gevoelige gegevens
Verhoogde gebruikersrechten
Uitgiftedatum : 20210809
Toepassing : Microsoft Exchange
Versie(s) :
Platform(s) :
Update
Op 5 augustus is op de BlackHat security-conferentie door een
onderzoeker een uitgebreide presentatie gegeven over kwetsbaarheden
in Microsoft Exchange. De onderzoekers hebben de kwetsbaarheden
ProxyShell gedoopt (niet te verwarren met ProxyLogon, een
vergelijkbare aanvalsvector van dezelfde onderzoeker,
NCSC-2021-0200). De kwetsbaarheden zijn in april 2021 reeds
stilzwijgend gepatched, maar sinds het vrijkomen van de details
wordt actief misbruik gesignaleerd. Om deze reden is dit
beveiligingsadvies geupdated en ingeschaald op HIGH/HIGH.
Beschrijving
Er zijn kwetsbaarheden verholpen in Microsoft Exchange. Microsoft
geeft aan dat de kwetsbaarheden met kenmerk CVE-2021-34523 en
CVE-2021-34473 reeds stilzwijgend in de updates van april 2021 zijn
verholpen, maar heeft dit nu publiek gemaakt.
Hieronder staat een overzicht van de verschillende kwetsbaarheden
beschreven per CVE en de impact:
|----------------|------|-------------------------------------|
| CVE-ID | CVSS | Impact |
|----------------|------|-------------------------------------|
| CVE-2021-31196 | 7,20 | Uitvoeren van willekeurige code |
| CVE-2021-31206 | 7,60 | Uitvoeren van willekeurige code |
| CVE-2021-34523 | 9,00 | Verkrijgen van verhoogde rechten |
| CVE-2021-34473 | 9,10 | Uitvoeren van willekeurige code |
| CVE-2021-33766 | 7,30 | Toegang tot gevoelige gegevens |
| CVE-2021-33768 | 8,00 | Verkrijgen van verhoogde rechten |
| CVE-2021-34470 | 8,00 | Verkrijgen van verhoogde rechten |
|----------------|------|-------------------------------------|
Op 5 augustus 2021 heeft een onderzoeker een presentatie gegeven op
de BlackHat security-conferentie over een aanval die uit te voeren
is door het gecombineerd misbruiken van de kwetsbaarheden met
kenmerken CVE-2021-31207, CVE-2021-34473 en CVE-2021-34523. Deze
aanval heeft de naam ProxyShell gekregen (niet te verwarren met
ProxyLogon, een vergelijkbare aanvalsvector van dezelfde
onderzoeker, NCSC-2021-0200). Bij een geslaagde aanval verkrijgt de
aanvaller controle over de kwetsbare Exchange server.
Inmiddels bevestigen verschillende partijen dat de aanval in het
wild wordt toegepast. Hiermee verandert de inschaling naar
HIGH/HIGH.
Mogelijke oplossingen
Microsoft heeft updates beschikbaar gesteld waarmee de beschreven
kwetsbaarheden worden verholpen. We raden u aan om deze updates te
installeren. Meer informatie over de kwetsbaarheden, de installatie
van de updates en eventuele work-arounds vindt u op:
https://portal.msrc.microsoft.com/en-us/security-guidance
Presentatie onderzoeker:
https://blog.orange.tw/2021/08
/proxylogon-a-new-attack-surface-on-ms-exchange-part-1.html
https://blog.orange.tw/2021/08
/proxyoracle-a-new-attack-surface-on-ms-exchange-part-2.html
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=LGMZ
-----END PGP SIGNATURE-----
