{"id":236134,"date":"2020-09-30T02:00:34","date_gmt":"2020-09-30T00:00:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=236134"},"modified":"2021-12-10T10:05:28","modified_gmt":"2021-12-10T09:05:28","slug":"ber-247-000-ungepatchte-exchange-servers-werden-aktiv-ber-cve-2020-0688-angegriffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/30\/ber-247-000-ungepatchte-exchange-servers-werden-aktiv-ber-cve-2020-0688-angegriffen\/","title":{"rendered":"Über 247.000 ungepatchte Exchange Server über CVE-2020-0688 angreifbar – Exchange 2010 erreicht EOL"},"content":{"rendered":"

[English<\/a>]Microsoft hat bereits im Februar 2020 die Schwachstelle CVE-2020-0688 durch Sicherheitsupdates geschlossen. Aber auch Ende September 2020 sind noch mehr als 247.000 Exchange Server angreifbar, weil die Sicherheitsupdates nicht installiert (oder bei Version 2007 nicht verf\u00fcgbar) sind. Und Exchange Server 2010 erreicht im Oktober 2020 das Supportende.<\/p>\n

<\/p>\n

Sicherheitsl\u00fccke CVE-2020-0688<\/h2>\n

\"\"Ich hatte bereits 2018 im Blog-Beitrag Sicherheitsl\u00fccke in Exchange Server 2010-2019<\/a> auf das Problem hingewiesen. In Exchange existiert von Version 2010 bis 2019 eine Sicherheitsl\u00fccke CVE-2020-0688. Seit Januar 2020 ist ein Exploit f\u00fcr diese Schwachstelle bekannt, und seit dem 11. Februar 2020 gibt es Updates zum Schlie\u00dfen der Sicherheitsl\u00fccke.<\/p>\n

Bei der Schwachstelle CVE-2020-0688 handelt es sich um eine Microsoft Exchange Validation Key Remote Code Execution-Sicherheitsl\u00fccke, die in diesem Microsoft-Dokument<\/a> vom 11. Februar 2020 beschrieben ist. Die Schwachstelle, die zu einer Remotecodeausf\u00fchrung ausgenutzt werden kann, besteht in Microsoft Exchange Server, wenn der Server bei der Installation nicht in der Lage ist, eindeutige (Cryptographische) Schl\u00fcssel zu erstellen.<\/p>\n

Die Kenntnis eines Validierungsschl\u00fcssels erm\u00f6glicht es einem authentifizierten Benutzer mit einem Postfach, beliebige Objekte zu \u00fcbergeben, die von der Webanwendung, die als SYSTEM l\u00e4uft, deserialisiert werden sollen. Simon Zuckerbraun von der Zero Day Initiative hat zum 25. Februar 2020 diesen Blog-Beitrag<\/a> mit einigen Erl\u00e4uterungen ver\u00f6ffentlicht. Auch von Tenable gibt es diesen Beitrag<\/a> zum Thema. Hier sind die verf\u00fcgbaren und als wichtig klassifizierten Updates:<\/p>\n