NSA ontdekt opnieuw beveiligingslek in Exchange dat RCE mogelijk maakt

[Captain Kirk]

De Amerikaanse geheime dienst NSA heeft opnieuw een kwetsbaarheid in Exchange Server ontdekt waardoor remote code execution mogelijk is. Eerder dit jaar ontdekte en rapporteerde de dienst twee Exchange-kwetsbaarheden aan Microsoft (CVE-2021-28480 en CVE-2021-28481). Het nu verholpen beveiligingslek, waarvoor Microsoft gisteren een beveiligingsupdate uitbracht, wordt aangeduid als CVE-2021-26427.

Via de kwetsbaarheid kan een aanvaller willekeurige code uitvoeren en zo de server overnemen. Het beveiligingslek is echter niet vanaf het internet te misbruiken en vereist iets dat aan de aan te vallen server is gekoppeld, aldus Microsoft. Het gaat dan bijvoorbeeld om een bluetooth-verbinding, een logisch netwerk, zoals een lokaal ip-subnet, of een beveiligd of ander beperkt beheerdersdomein. Het meest aannemelijke scenario volgens Microsoft is een man-in-the-middle-aanval of een situatie waarbij er een andere omgeving in de buurt van Exchange-server is gecompromitteerd.

Dustin Childs van het Zero Day Initiative vermoedt, op basis van het CVE-nummer, dat de kwetsbaarheid al begin dit jaar tegelijkertijd met de andere twee Exchange-kwetsbaarheden door de NSA is gerapporteerd. Die twee beveiligingslekken waren veel ernstiger en wel vanaf het internet te misbruiken. Naast CVE-2021-26427 zijn er gisteren drie andere kwetsbaarheden in Exchange verholpen die een denial of service-aanval mogelijk maken, een aanvaller die al toegang tot een server heeft zijn rechten laten verhogen of tot spoofing kunnen leiden.

Microsoft zegt niet bekend te zijn met aanvallen die misbruik van de vier kwetsbaarheden maken, maar roept organisaties op om de beveiligingsupdates voor Exchange meteen te installeren.

 

bron: https://www.security.nl