Kwetsbaarheden verholpen in Microsoft Exchange Server

Deze pagina gebruikt slimmigheden om officiële advisory platte tekst naar HTML om te zetten. Daarbij kan die informatie worden verminkt. De "Signed-PGP" versies waarnaar verwezen wordt zijn normatief (maar deze zijn minder leesbaar).
Publicatie Kans Schade    
  Versie 1.07 21-11-2022 NCSC-2022-0610  
 
high
high
Signed-PGP →  
21-11-2022
high
high
NCSC-2022-0610 [1.07] Signed-PGP →
Kenmerken

Kenmerken

  • Cross-Site Request Forgery (XSRF)
  • (Remote) code execution (Administrator/Root rechten)
  • Toegang tot gevoelige gegevens
Omschrijving

Omschrijving

Beveiligingsbedrijf GTSC heeft twee kwetsbaarheden ontdekt in Microsoft Exchange. De kwetsbaarheden kunnen achtereenvolgens worden misbruikt voor het uitvoeren van willekeurige code op een kwetsbare Exchange-server. Voor succesvol misbruik is authenticatie vereist.

Microsoft en GTSC geven aan dat de kwetsbaarheden op beperkte schaal worden misbruikt. [1][2] GTSC geeft daarnaast te kennen dat het op een onbepaald aantal getroffen systemen back-doors heeft gevonden. Beide bedrijven hebben detectiemaatregelen en indicators-of-compromise gedeeld.

Dit beveiligingsadvies zal worden bijgewerkt wanneer meer relevante informatie beschikbaar komt.

[1] [Link]

[2] [Link]

Bereik

Bereik

Platforms Producten Versies

Microsoft Exchange
Microsoft Exchange Online

Oplossingen

Oplossingen

Microsoft heeft updates uitgebracht om de kwetsbaarheden te verhelpen in Exchange server. Voor meer informatie, zie [Link] [Link]

Het advies is om zo snel mogelijk te updaten, maar mitigerende maatregelen die Microsoft eerder heeft uitgebracht blijven van kracht. [3]

Naast het toepassen van een specifieke URL request rewrite-rule adviseert Microsoft met klem om PowerShell-toegang voor standaardgebruikers uit te schakelen. Meer informatie over het uitschakelen van PowerShell-toegang is te vinden op onderstaande pagina. [4]

Houd er rekening mee dat de mitigerende rewrite-rules waarover vóór 5 oktober is gecommuniceerd niet functioneren en kunnen worden omzeild. Microsoft heeft op 5 oktober een nieuwe rewrite-rule gedeeld. Het advies luidt om deze nieuwe rule toe te passen en eventuele oude rules te verwijderen. Het implementeren van de rewrite-rule om misbruik van CVE-2022-41040 te voorkomen staat los van de mitigerende maatregel voor CVE-2022-41082 waarbij PowerShell-toegang voor standaardgebruikers wordt uitgeschakeld. Het is aan te raden om beide mitigerende maatregelen te implementeren.

Microsoft heeft een script (EOMTv2) gepubliceerd om de eerder genoemde rewrite-rule toe te passen. [5] Op 5 oktober heeft Microsoft een nieuwe versie van het script uitgebracht waarin de nieuwe rewrite-rule wordt gebruikt. Organisaties die een eerdere versie van het script hebben gebruikt worden dringend geadviseerd de oude rewrite-rule te vervangen door de nieuwe.

[3] [Link]

[4] [Link]

[5] [Link] Microsoft heeft updates uitgebracht om de kwetsbaarheden te verhelpen in Exchange Server. Voor meer informatie, zie [Link]

CVE’s

CVE’s

CVE-2022-41040, CVE-2022-41082

Kans

Kans

Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen hoe groot de kans is dat deze kwetsbaarheid in het doorsnee praktijkgeval kan worden misbruikt. De punten worden bij elkaar geteld.

high
∑ = 32
Is de kwetsbaarheid aanwezig in de standaard configuratie/ installatie? Onduidelijk/Ja 3
Is er exploit-code beschikbaar? Proof of Concept (PoC) 4
Wordt de kwetsbaarheid in de praktijk gebruikt? Beperkt waargenomen 2
Zijn er technische details beschikbaar? Beperkt 2
Welke toegang is er nodig? Internet 6
Vereiste credentials Gewone gebruiker 2
Hoe moeilijk is het om de kwetsbaarheid uit te buiten? Eenvoudig 3
Is er gebruikers interactie nodig? Geen handelingen 4
Wordt misbruik of een exploit verwacht? Ja binnenkort 3
Is er een oplossing beschikbaar? Nog niet 3
Schade

Schade

Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen voor de schade die bij een succesvolle aanval kan ontstaan. De hoogste inschaling bepaalt de totale kans op schade.

high
Denial of Service Nee
low
Uitvoeren van willekeurige code Ja, Root/Administrator-rechten
high
Rechten op afstand (remote [root-] shell) Nee
low
Verwerven lokale admin/root-rechten (privilege escalation) Nee
low
Lekken van (gevoelige) informatie Ja, Gebruikersdata
high
  Versie 1.07 21-11-2022 NCSC-2022-0610  
 
high
high
Signed-PGP →  
21-11-2022
high
high
NCSC-2022-0610 [1.07] Signed-PGP →
Update

Update

Er is proof-of-concept code gepubliceerd waarmee de kwetsbaarheden misbruikt kunnen worden. De inschaling van dit beveiligingsadvies was reeds HIGH/HIGH.

  Versie 1.06 09-11-2022 NCSC-2022-0610  
 
high
high
Signed-PGP →  
09-11-2022
high
high
NCSC-2022-0610 [1.06] Signed-PGP →
Update

Update

Microsoft heeft updates uitgebracht om de kwetsbaarheden te verhelpen in Exchange Server.

  Versie 1.05 10-10-2022 NCSC-2022-0610  
 
high
high
Signed-PGP →  
10-10-2022
high
high
NCSC-2022-0610 [1.05] Signed-PGP →
Update

Update

Microsoft heeft wederom nieuwe maatregelen gedeeld om misbruik van deze kwetsbaarheid te voorkomen. Organisaties wordt geadviseerd om de nieuwste maatregelen op korte termijn toe te passen.

  Versie 1.04 06-10-2022 NCSC-2022-0610  
 
high
high
Signed-PGP →  
06-10-2022
high
high
NCSC-2022-0610 [1.04] Signed-PGP →
Update

Update

De eerder gedeelde mitigerende maatregel voor CVE-2022-41040, het toepassen van een specifieke rewrite-rule, kan opnieuw worden omzeild. Microsoft heeft nieuwe maatregelen gedeeld om misbruik van deze kwetsbaarheid te voorkomen. Organisaties wordt geadviseerd om de nieuw gedeelde maatregelen op korte termijn toe te passen.

  Versie 1.03 05-10-2022 NCSC-2022-0610  
 
high
high
Signed-PGP →  
05-10-2022
high
high
NCSC-2022-0610 [1.03] Signed-PGP →
Update

Update

Microsoft heeft een bijgewerkt handelingsperspectief gepubliceerd waarin de nieuwe rewrite-rule is opgenomen die eerder door beveiligingsbedrijf GTSC is gedeeld. Tevens heeft Microsoft het EOMTv2-script bijgewerkt.

  Versie 1.02 03-10-2022 NCSC-2022-0610  
 
high
high
Signed-PGP →  
03-10-2022
high
high
NCSC-2022-0610 [1.02] Signed-PGP →
Update

Update

Beveiligingsbedrijf GTSC geeft aan dat de eerder gedeelde URL request rewrite-rule kan worden omzeild. Het bedrijf heeft een nieuwe rewrite-rule gedeeld die moet voorkomen dat de kwetsbaarheden worden misbruikt. Microsoft adviseert daarnaast om PowerShell-toegang voor niet-beheerders uit te schakelen. Beide ontwikkelingen zijn aan dit beveiligingsadvies toegevoegd.

Naast bovenstaande wijzigingen is dit beveiligingsadvies bijgewerkt naar de huidige stand van zaken. De inschaling blijft ongewijzigd HIGH/HIGH.

  Versie 1.01 01-10-2022 NCSC-2022-0610  
 
high
high
Signed-PGP →  
01-10-2022
high
high
NCSC-2022-0610 [1.01] Signed-PGP →
Update

Update

Microsoft heeft nieuwe informatie gepubliceerd over de kwetsbaarheden met kenmerk CVE-2022-41040 en CVE-2022-41082. Zie update A en B voor meer informatie.

  Versie 1.00 30-09-2022 NCSC-2022-0610  
 
high
high
Signed-PGP →  
30-09-2022
high
high
NCSC-2022-0610 [1.00] Signed-PGP →

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.