Nová zranitelnost Exchange organizací

Součástí únorové sady záplat společnosti Microsoft jsou i aktualizace pro Exchange servery, které jsou aktuálně podporované (Exchange 2010 a novější). Jako několik dalších zranitelností z posledních let představuje CVE-2020-0688 potenciální hrozbu vzdáleného spuštění kódu pro útočníka. Ten musí disponovat alespoň běžným uživatelským účtem z organizace. Bohužel, únik a následné zneužití těchto údajů je nejčastější příčinou bezpečnostních incidentů a následných úniků dat.

Na serveru Zero Day Initiative byl publikován podrobný popis, jak chybu zneužít včetně podrobného video postupu. To zvýšilo důležitost instalace této záplaty oproti obdobné podzimní zranitelnosti CVE-2019-1373, přestože avizovaná závažnost byla také kritická.

Ke zneužití této chyby útočník musí vyčíst hodnoty ViewStateUserKey a** __VIEWSTATEGENERATOR z ověřeného spojení, což lze učinit pomocí standartních vývojových nástrojů v internetovém prohlížeči a dále nástroj ysoserial.net k vytvoření ECP linku – ten provede požadovanou akci, například vytvoření souboru na serveru.

Ke zneužití této chyby postačuje účet bez speciálních oprávnění, jelikož útočník může spustit libovolný kód v kontextu ECP, jež běží pod uživatelem SYSTEM.

Pro eliminaci této chyby CVE-2020-0688 nainstalujte již dostupnou aktualizaci (ke stažení v článku). Bezpečnostní aktualizace bude také součástí CU, které budou vydány tento měsíc.