BM20-001 - Aktiva skanningar efter sårbara Microsoft Exchange-servrar

Angripare söker just nu efter Microsoft Exchange-servrar, drabbade av sårbarheten CVE-2020-0688. En patch tillgängliggjordes för två veckor sedan. [1]

Alla versioner innan patchen är drabbade av sårbarheten. [2] Bristen ligger i Exchange Control Panel (ECP)-komponenten. Om den exploateras så kan en angripare tillskansa sig fulla rättigheter och exekvera kod med system-rättigheter. En angripare kan exempelvis skicka e-post med falsk avsändare, eller läsa e-post. [2]

Då skanningar sker så är det hög sannolikhet att det inom en snar framtid kommer ske exploatering av sårbarheten. Det har även publicerats ytterligare tekniska detaljer om bristen. [3]

Påverkade produkter

Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 14
Microsoft Exchange Server 2016 Cumulative Update 15
Microsoft Exchange Server 2019 Cumulative Update 3
Microsoft Exchange Server 2019 Cumulative Update 4 [4]

Uppdatering: Till äldre service packs respektive kumulativa uppdateringar finns ingen säkerhetsuppdatering. För att se vilket service pack eller vilken kumulativ uppdatering som körs, se guide från Microsoft. [5]

Rekommendationer

Skanningar efter sårbara system sker aktivt. CERT-SE rekommenderar starkt att patcha snarast möjligt.

Källor

[1] https://www.cert.se/2020/02/microsofts-sakerhetsuppdateringar-for-februari

[2] https://www.bleepingcomputer.com/news/security/hackers-scanning-for-vulnerable-microsoft-exchange-servers-patch-now/

[3] https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys

[4] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688

[5] https://docs.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019