Nieuwe RCE-aanval op Microsoft Exchange Server gedemonstreerd

In dit artikel:

Beveiligingsonderzoeker Orange Tsai heeft tijdens de Pwn2Own-wedstrijd in Berlijn een nieuwe keten van drie kwetsbaarheden in Microsoft Exchange Server getoond waarmee een ongeauthenticeerde aanvaller remote code execution (RCE) met SYSTEM-rechten kan bereiken en volledige controle over de mailserver krijgt. De technische details zijn nog niet openbaar; Tsai deelt de bevindingen eerst met Microsoft zodat het bedrijf beveiligingsupdates kan ontwikkelen. Wanneer die patches beschikbaar komen, is nog onbekend. Voor zijn demonstratie kreeg Tsai een beloning van 200.000 dollar.

Pwn2Own beloont onderzoekers die zero-day kwetsbaarheden in populaire software aantonen; op de Berlijn-editie richten deelnemers zich onder andere op browsers en zakelijke software, waarbij een succesvolle aanval op Exchange tot de hoogste beloningen leidt. Tsai heeft eerder meerdere ernstige Exchange-lekken ontdekt — onder meer ProxyLogon, ProxyOracle en ProxyShell — waarvan sommige later grootschalig werden misbruikt. Organisaties met Exchange-omgevingen worden geadviseerd de communicatie van Microsoft nauwlettend te volgen en alvast mitigaties (zoals toegang beperken tot externe Exchange-interfaces en netwerksegmentatie) toe te passen totdat officiële patches beschikbaar zijn.