{"id":235608,"date":"2020-09-16T10:49:51","date_gmt":"2020-09-16T08:49:51","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=235608"},"modified":"2022-04-12T03:11:28","modified_gmt":"2022-04-12T01:11:28","slug":"exchange-server-remote-code-execution-schwachstelle-cve-2020-16875","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/16\/exchange-server-remote-code-execution-schwachstelle-cve-2020-16875\/","title":{"rendered":"Exchange Server: Remote Code Execution-Schwachstelle CVE-2020-16875"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/09\/16\/exchange-server-remote-code-execution-schwachstelle-cve-2020-16875\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Administratoren von Microsoft Echange Server sollten sich um das Patchen der Remote Code Execution-Schwachstelle CVE-2020-16875 k\u00fcmmern. Die Details bzw. Exploits sind nun ver\u00f6ffentlicht worden.<\/p>\n<p><!--more--><\/p>\n<h2>Die Schwachstelle CVE-2020-16875<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/ed7a62a7c1b84a7eb323b60ef66379e0\" alt=\"\" width=\"1\" height=\"1\" \/>In Microsofts Exchange Server gibt es eine Remote Code Execution-Schwachstelle. In den Details zur Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2020-16875\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-16875<\/a> schreibt Microsoft:<\/p>\n<blockquote><p>A remote code execution vulnerability exists in Microsoft Exchange server due to improper validation of cmdlet arguments.<\/p>\n<p>An attacker who successfully exploited the vulnerability could run arbitrary code in the context of the System user. Exploitation of the vulnerability requires an authenticated user in a certain Exchange role to be compromised.<\/p>\n<p>The security update addresses the vulnerability by correcting how Microsoft Exchange handles cmdlet arguments.<\/p><\/blockquote>\n<p>Aufgrund einer fehlerhaften Validierung von Cmdlet-Argumenten besteht im Microsoft Exchange-Server eine Schwachstelle bei der Remotecodeausf\u00fchrung. Angreifer k\u00f6nnten dies ausnutzen, um beliebigen Code im Kontext des Systembenutzers auszuf\u00fchren. F\u00fcr die Ausnutzung der Schwachstelle muss ein authentifizierter Benutzer in einer bestimmten Exchange-Rolle kompromittiert werden.<\/p>\n<p>Microsoft hat zum 8. September 2020 aber Sicherheitsupdates f\u00fcr die betroffenen Produkte (Exchange Server 2016 und 2019) freigegeben. Das jeweilige Sicherheitsupdate <a href=\"https:\/\/support.microsoft.com\/help\/4577352\" target=\"_blank\" rel=\"noopener noreferrer\">4577352<\/a> behebt die Sicherheitsanf\u00e4lligkeit, indem die Auswertung von Cmdlet-Argumenten in Microsoft Exchange korrigiert wird. Microsoft stuft die Schwachstelle mit niedrigem Risiko ein (Exploitation Less Likely).<\/p>\n<ul>\n<li>Microsoft Exchange Server 2016 Cumulative Update 16<\/li>\n<li>Microsoft Exchange Server 2016 Cumulative Update 17<\/li>\n<li>Microsoft Exchange Server 2019 Cumulative Update 5:<\/li>\n<li>Microsoft Exchange Server 2019 Cumulative Update 6:<\/li>\n<\/ul>\n<p>Gerade hat Source Incide <a href=\"https:\/\/srcincite.io\/advisories\/src-2020-0019\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Post<\/a> mit PoCs zur Schwachstelle ver\u00f6ffentlicht (ich habe den Hinweis \u00fcber <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1305798762623795202\" target=\"_blank\" rel=\"noopener noreferrer\">Twitter<\/a> erhalten).\u00a0 Diese wurde am 22. Mai 2020 an Microsoft gemeldet und zum September 2020 Patchday korrigiert. Im Post ver\u00f6ffentlichen die Source Incide-Leute zwar Proof of Concept-Exploits, um die Schwachstelle auszunutzen. Administratoren sollten also daf\u00fcr sorgen, dass die Exchange Server gepatcht sind.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Administratoren von Microsoft Echange Server sollten sich um das Patchen der Remote Code Execution-Schwachstelle CVE-2020-16875 k\u00fcmmern. Die Details bzw. Exploits sind nun ver\u00f6ffentlicht worden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,2557],"tags":[5418,4328],"class_list":["post-235608","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-server","tag-exchange-server","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235608","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=235608"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235608\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=235608"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=235608"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=235608"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}