Kritiek lek in Exchange Server maakt remote code execution mogelijk

[Captain Kirk]

Tijdens de patchdinsdag van maart heeft Microsoft 71 kwetsbaarheden verholpen, waaronder een kritiek beveiligingslek in Exchange Server dat remote code execution mogelijk maakt. Had Microsoft in februari een maand zonder kritieke updates, een zeldzaamheid, deze maand zijn het er slechts drie.

Twee van deze updates zijn voor kritieke lekken in de HEVC- en VP9-videoextensies. Door het openen van een malafide video zou een aanvaller willekeurige code op het systeem kunnen uitvoeren. De impact van deze kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. De derde kritieke kwetsbaarheid, die in Exchange aanwezig is en wordt aangeduid als CVE-2022-23277, heeft een impactscore van 8.8.

Het probleem speelt in Exchange 2013, 2016 en 2019. Een geauthenticeerde aanvaller kan code met verhoogde rechten uitvoeren. Hoewel er nog geen actief misbruik van de kwetsbaarheid wordt gemaakt, lijkt dat slechts een kwestie van tijd. Microsoft stelt namelijk dat misbruik "more likely" is en ook het Zero Day Initiative verwacht op korte termijn dat aanvallers het lek zullen gebruiken.

Verder zijn er drie kwetsbaarheden in .NET and Visual Studio, Remote Desktop Client en de Windows Fax and Scan service verholpen die al voor het uitkomen van de beveiligingsupdates bekend waren. Er is volgens Microsoft echter geen misbruik van gemaakt. De updates zullen op de meeste systemen automatisch worden geïnstalleerd.

 

bron: https://www.security.nl