CVE-2020-0688
Im Februar 2020 hat Microsoft ein Updates für Exchange Server veröffentlicht, um eine Lücke zu stopfen. Diese Seite beschreibt weitere Details.
Laut Heise sind auch im April noch angeblich über 350.000 Exchange Server per EWS erreichbar und nicht gepatched. Hier fehlt also nur ein authentifizierter Benutzer, um den Server und mehr zu übernehmen.
Überblick
Es handelt sich um eine Lücker bei der Verarbeitung von HTTP-Requests gegen das Exchange Control Panel. Über eine passend formatierte URL kann ein Angreifer auf dem Exchange Server ein beliebiges Programm ausführen. Um diese Lücke auszunutzen müssen aber einige Voraussetzungen gegeben sein.
- Authentifizierter Benutzer
Der Zugriff ist nicht anonym möglich. ein Angreifer muss also eine gültige Benutzername/Kennwort-Kombination haben. Das kann also entweder ein eigener Mitarbeiter sein oder der typische Fall einer von abgephishten Zugangsdaten. Ds passiert leider immer noch sehr oft. Vielleicht sollten Sie einmal darüber nachdenken, für Zugriffe aus unsicheren Netzwerken einen zweiten Faktor (MFA) zu erzwingen. - Zugriff auf /ECP
Der bislang demonstrierte Angriff erfolgt über das Exchange Control Panel. Diese URL ist vielen Anwender nicht bekannt aber wird doch genutzt, wenn der Anwender seine eigene Profilseite in Exchange anzeigen und Einstellungen anpassen will. Leider hat Exchange das "Admin-Portal" nicht von diesem Benutzer-Portal getrennt. Dennoch können Sie als schnelle Hilfe den Zugang zu "/ECP" blockieren, bis sie die Updates für Exchange installiert haben. - Ungepatchten Exchange Server
Die Lücke ist bekannt und Microsoft hat recht zügig die Updates bereit gestellt. Allerdings müssen Sie als Administrator diese schon noch installieren.
Im Risiko sind aktuell also nur Exchange Server, zu denen ein Angreifer zumindest einen gültigen Benutzernamen samt Kennwort kennt. Wer den Zugriff von extern sichert, und "vertrauenswürdige" Anwender hat, für den ist das Risiko aber nur etwas geringer, denn auch
Exploit-Demo
Lange Zeit war die Lücke nur dem Entdecker und Microsoft bekommt. Allerdings läuft die Zeit, sobald Microsoft die Updates bereitstellt. Neben fürsorglichen Administratoren gibt es auch die bösen Jungs, die sehr schnell die Updates analysieren und anhand der Korrekturen auf die Lücke schließen können. Es ist also nur eine Frage der Zeit, bis es einen geeigneten Exploit gibt, der dann auch ausgenutzt wird.
Am 25. Feb 2020 wurde dann auf YouTube ein Video veröffentlicht, welches den Exploit demonstriert:
Demonstrating CVE-2020-0688: A Remote
Code Execution Bug in Microsoft Exchange
https://www.youtube.com/watch?v=7d_HoQ0LVy8
Der Angreifer meldet sich zuerst mit den gültigen Anmeldedaten per OWA am Exchange Server ab. Dann nutzt er die F12-Taste um die Debugging-Tools im Browser zu starten und sich so die ASPSessionID und die Nummer des "__VIEWSTATEGENERATOR" zu besorgen. Diese beiden Werte werden dann als Parameter an ein Tool übergeben, welches eine lange URL ausspuckt.
Quelle: Demonstrating CVE-2020-0688: A Remote Code Execution
Bug in Microsoft Exchange
https://www.youtube.com/watch?v=7d_HoQ0LVy8
Diese URL wird dann wieder in die Adresszeile des Browsers kopiert und aufgerufen. Der Exchange Server "interpretiert" diese URL und dabei wird eine Lücke ausgenutzt, über die im Beispiel das Programm "win32calc.exe" als SYSTEM gestartet wird. Eine echte Malware würde natürlich etwas anderes starten.
Keine Analyse
Dieser Buchstabensalat ist der hintere Teil einer URL, die Sie an den Hostnamen ihres OWA-Zugangs dann anhängen und damit Sonderzeichen u.a. sauber übertragen werden, ist der Code auch noch URL-Encoded. Wenn Sie nun vom Video tatsächlich die Buchstabenfolge durch einen OCR-Scanner jagen, geht es auch ohne abtippen.
- PDF- und Fotodateien in Text
konvertieren
https://support.google.com/drive/answer/176692?co=GENIE.Platform%3DDesktop&hl=de
Die Zeichen müssen Sie dann noch durch einen ULRDecoder schicken, wie Fiddler in Form des TextWizard" ihn z.B. mitbringt.
Aber auch das ist erst mal nur "Zeichensalat", denn Exchange aber wohl so kräftig missversteht, dass er Code als LocalSystem ausführt. Mit etwas Tüftelei könnte man diese Zeichenfolge sicher noch decodieren, um den Aufruf der Malware zu finden. Das erspare ich mir aber
Wer eigene Server betreibt, muss sich auch um die entsprechenden Updates und Patches kümmern. Ansonsten gefährdet er nicht nur seine Server sondern mit dem Server als Sprungbrett die komplette Firma und kann als Angreifer auf andere Ziele missbraucht werden. Bitte aktualisieren Sie ihre Exchange Server!
Weitere Links
- Exchange Updates
- Exchange und Outlook Build Nummern
- CVE-2020-0688 | Microsoft Exchange
Validation Key Remote Code Execution
Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0688 - CVE-2020-0688: REMOTE CODE EXECUTION ON
MICROSOFT EXCHANGE SERVER THROUGH FIXED
CRYPTOGRAPHIC KEYS
https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys - Exchange Server: Jetzt Updates
installieren
https://www.frankysweb.de/exchange-server-jetzt-updates-installieren/ - Phishing for SYSTEM on Microsoft Exchange (CVE-2020-0688)
https://blog.rapid7.com/2020/04/06/phishing-for-system-on-microsoft-exchange-cve-2020-0688/ - Cyberien im Winterschlaf Teil 3 | Windows Server 2008 R2 EOL
https://zero.bs/cyberien-im-winterschlaf-teil-3-windows-server-2008-r2-eol.html - Jetzt patchen! Über 350.000 Microsoft
Exchange Server immer noch attackierbar
https://www.heise.de/security/meldung/Jetzt-patchen-Ueber-350-000-Microsoft-Exchange-Server-immer-noch-attackierbar-4698421.html - Jetzt patchen! Angreifer haben Lücke in
Microsoft Exchange Server im Visier
https://www.heise.de/security/meldung/Jetzt-patchen-Angreifer-haben-Luecke-in-Microsoft-Exchange-Server-im-Visier-4669364.html