🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Tipo de aconselhamento
Inteligência de vulnerabilidadeTipo de vulnerabilidade
Execução remota de códigoCAVERNA
CVE-2020-16875Plataforma
Microsoft Exchange Server, local/na nuvemCVSS
9.1Uma vulnerabilidade de execução remota de código (RCE) no servidor Microsoft Exchange afeta os provedores de software como serviço (SaaS), bem como as instâncias locais dos servidores Exchange. Um servidor Exchange, como qualquer outro produto da Microsoft, oferece suporte ao Powershell e usa a interface Powershell Remoting para expor funcionalidades aos usuários e administradores. A falha crítica está supostamente presente em um dos comandos do Powershell (cmdlet é um comando leve executado no ambiente Powershell), que permite que o comando fornecido pelo invasor seja executado no servidor de destino com altos privilégios.O cmdlet vulnerável é Nova política de DLP e a classe que manipula esse cmdlet pode ser encontrada em Microsoft.Exchange.MessagingPolicies.CompliancePrograms.Tasks.NewDLPPolicy sem C:\ProgramFiles\Microsoft\ExchangeServer\V15\Bin\Microsoft.Exchange.Management.dll biblioteca.O cmdlet New-DLPPolicy permite que os usuários criem uma nova política de DLP (prevenção de perda de dados) com dados de modelo fornecidos pelo usuário sem a validação adequada, permitindo que usuários mal-intencionados criem dados de modelo com comandos do sistema que levam a um RCE. Isso pode ser explorado por meio do Painel de Controle do Exchange (ECP) e da interface PS-Remoting. Um ataque via ECP pode fazer uso de HTTPS, facilitando a criação de módulos de exploração em metasploit, já disponíveis na natureza.Impacto
- Os atacantes podem executar comandos (com o maior privilégio) no sistema de destino.
- As contas de e-mail corporativas enfrentarão o risco de serem comprometidas.
- Contas de e-mail comprometidas podem ser usadas em campanhas de phishing.
- O RCE permitirá que os atacantes deixem backdoors nos servidores.
- Os invasores podem aprofundar o ataque nas redes internas usando o servidor comprometido como pivô.
Mitigação
- Patch Bypass - Os pesquisadores de segurança conseguiram contornar o patch destinado ao CVE-2020-16875. O primeiro patch bypass é apelidado de CVE-2020-171324. Posteriormente, um desvio para 171324 foi descoberto e, agora, um patch final é necessário para resolver os outros dois desvios.
