Nuova Falla in Microsoft Exchange Server

Proto: N020121.

Con la presente Yoroi desidera informarla relativamente ad una nuova falla all'interno dei servizi Microsoft Exchange Server, estremamente diffusi per la realizzazione di servizi di posta elettronica in ambito Enterprise. La criticità è nota come bypass della falla CVE-2020-17132. 

La problematica è causata da lacune nelle routine di processamento delle nei moduli “DlpUtils” di Exchange Server, le quali permettono ad un attaccante di rete in grado di collegarsi via interfaccia web Exchange Control Panel (ECP) con utenze in ruolo “Data Loss Prevention” - o via Powershell remoting - di eseguire codice arbitrario all’interno delle macchine server Exchange.  

Queste lacune erano state originariamente trattate con la CVE-2020-16875 ad Agosto 2020, tuttavia il patching è risultato inefficace ed è stata aperta la CVE-2020-17132, risolta dal Vendor a Dicembre 2020. Purtroppo, anche quest’ultima è stata recentemente scoperta inefficace. 

Il Vendor ha confermato e risolto la problematica per le istanze cloud Office 365, tuttavia non ha al momento rilasciato patch per le installazioni Exchange Server on premise.

Considerata, la criticità dei sistemi afflitti e la pubblicazione di dettagli tecnici e proof of concept per effettuare il bypass anche dell’ultima patch di Dicembre 2020, Yoroi consiglia di appurare lo stato di aggiornamento delle istanze Exchange Server on premise e di monitorare il rilascio di patch per il nuovo bypass, di valutare l’esposizione in termini di utenze e fornitori con ruoli “Data Loss Prevention” e la copertura dei servizi Exchange Server da parte dei sistemi IDS/IPS in uso. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index