Gravi Vulnerabilità su Microsoft Exchange

Proto: N030220.

Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di gravi vulnerabilità all’interno di Exchange Server, nota soluzione di gestione posta elettronica di Microsoft estremamente diffusa sia in ambito Enterprise sia nella PMI. In particolare le vulnerabilità sono note con gli identificativi CVE-2020-0692 e CVE-2020-0688.

Le problematiche sono relative a due diverse funzionalità all’interno dei servizi di posta Exchange: 

  • la prima,  CVE-2020-0692, è causata da lacune nella gestione del token di sicurezza (Security Access Token) all’interno dell’interfaccia Exchange Web Services (EWS). Qui, un attaccante remoto in possesso di un token valido, lo può manipolare sino ad accedere a caselle di posta di altri utenti.
  • la seconda, CVE-2020-0688, è causata da lacune nella gestione della memoria all’interno delle routine gestione dei messaggi di Exchange. Queste falle permettono ad un attaccante remoto di preparare ed inviare una apposita email in grado di eseguire codice arbitrario sul server alla ricezione del messaggio, accedendovi abusivamente ed installando impianti malware al suo interno.
Figura. Esposizione servizi di posta Exchange in Italia (Source:ShodanHQ) 

Le vulnerabilità sono state confermate dal Produttore all’interno degli Aggiornamenti di Sicurezza di Febbraio 2020, dove risultano afflitte le versioni:

  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Per via della natura dei servizi afflitti, della loro esposizione internet, e dell’imminente rilascio di dettagli tecnici annunciato dal programma ZDI, Yoroi consiglia caldamente di pianificare l’applicazione degli aggiornamenti software sui servizi di posta elettronica Microsoft Exchange in uso presso le Vostre infrastrutture.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index