Nové kritické zraniteľnosti emailového serveru Microsoft Exchange

Národná bezpečnostná agentúra (NSA) informovala spoločnosť Microsoft o objave kritických zraniteľností umožňujúcich vzdialene vykonať kód (RCE) v produkte Microsoft Exchange Server. Spoločnosť Microsoft vydala bezpečnostné aktualizácie a apeluje na administrátorov, aby urgentne aktualizovali emailové servery Microsoft Exchange vo svojej správe. Aktuálne nebolo zaznamenané zneužitie týchto zraniteľností, avšak Microsoft predpokladá, že je to len otázkou času.

Dôsledky

  • Kompromitácia emailového serveru
  • Možné narušenie Integrity, Dôvernosti a Dostupnosti emailového serveru
  • Únik citlivých dát

Opis činnosti
CVE-2021-28480 (CVSS 9,8), CVE-2021-28481 (CVSS 9,8), CVE-2021-28482 (CVSS 8,8), CVE-2021-28483 (CVSS 9,0)

Prvé dve zraniteľnosti s hodnotením CVSS 9,8 sú zraniteľnosti umožňujúce neautentifikovanému útočníkovi vzdialene vykonať ľubovoľný kód (RCE). Potencionálnemu útočníkovi v tomto prípade stačí odoslať škodlivé požiadavky serveru. Obe tieto zraniteľnosti by mali byť podobné predchádzajúcej veľkej zraniteľnosti ProxyLogon (CVE-2021-26855) z marca 2021.

Zraniteľnosti s hodnotením CVSS 8,8 a CVSS 9,0 sú zraniteľnosti, ktoré rovnako umožňujú potencionálnemu vzdialenému útočníkovi vykonať ľubovoľný kód (RCE), avšak až po autentifikovanom prístupe na server. Potencionálny útočník však môže tieto zraniteľnosti kombinovať s vážnejšími zraniteľnosťami, ktoré autentifikáciu obchádzajú, a tak úspešne zraniteľnosti zneužiť aj bez prihlásenia.

Zraniteľnosti postihujú Microsoft Exchange Server 2013, 2016 a 2019. Ich úspešné zneužitie by mohlo viesť ku kompromitácii emailového serveru, a tak narušiť jeho integritu, dôvernosť a dostupnosť.

Zraniteľné systémy

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Vydané špecifické aktualizácie pre verzie:

  • Microsoft Exchange Server 2013 CU23
  • Microsoft Exchange Server 2016 CU19 a CU20
  • Microsoft Exchange Server 2019 CU8 a CU9

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik citlivých informácií
Vzdialené vykonávanie kódu

Odporúčania

  • Čo najrýchlejšia aktualizácia emailového serveru Microsoft Exchange
  • Dostupný kód pre overenie zabezpečenia serveru Microsoft Exchange pred aktuálnymi kritickými zraniteľnosťami nájdete v tomto repozitári
  • Odporúčanie CISA

Odkazy
https://www.bleepingcomputer.com/news/security/nsa-discovers-critical-exchange-server-vulnerabilities-patch-now/
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617
https://msrc-blog.microsoft.com/2021/04/13/april-2021-update-tuesday-packages-now-available/
https://www.tenable.com/blog/cve-2021-28480-cve-2021-28481-cve-2021-28482-cve-2021-28483-four-critical-microsoft-exchange