Microsoft hat vor kurzem einen Patch, der die Schwachstelle CVE-2020-0688 schließt, für alle Versionen des Microsoft Exchange-Servers veröffentlicht.

Ist das Microsoft Exchange Panel (ECP) unzureichend gesichert und beispielsweise ins Internet gepublished, ist diese Schwachstelle als kritisch einzustufen. Um die Schwachstelle ausnutzen zu können, wird ein gültiger Nutzer benötigt, der anschließend die Payload als SYSTEM ausführen könnte. Trotzdem sollten Unternehmen handeln, da bereits PoC Exploits auf Github verfügbar sind. Angreifbar sind die folgenden Seiten, da diese die gleichen Validierungsschlüssel der web.config nutzen.

• /ecp/default.aspx
• /ecp/PersonalSettings/HomePage.aspx
• /ecp/PersonalSettings/HomePage.aspx4E
• /ecp/Organize/AutomaticReplies.slab
• /ecp/RulesEditor/InboxRules.slab
• /ecp/Organize/DeliveryReports.slab
• /ecp/MyGroups/PersonalGroups.aspx
• /ecp/MyGroups/ViewDistributionGroup.aspx
• /ecp/Customize/Messaging.aspx
• /ecp/Customize/General.aspx
• /ecp/Customize/Calendar.aspx
• /ecp/Customize/SentItems.aspx
• /ecp/PersonalSettings/Password.aspx
• /ecp/SMS/TextMessaging.slab
• /ecp/TroubleShooting/MobileDevices.slab
• /ecp/Customize/Regional.aspx
• /ecp/MyGroups/SearchAllGroups.slab
• /ecp/Security/BlockOrAllow.aspx

Die Forscher von TrustSec haben den PoC ausprobiert und stellen auch eine Information über IoC (Indicator of Compromize) bereit.