Ernstige kwetsbaarheid in Microsoft Exchange Server 2016 en 2019

09 sep 2020

Microsoft heeft de afgelopen patchronde (8 September 2020) updates beschikbaar gesteld voor Exchange Server 2016 en 2019 om een ernstige kwetsbaarheid te dichten. Het betreft hier CVE-2020-16875, door het NCSC aangeduid als 'High/High'. Dit wil zeggen dat er een grote kans is dat deze kwetsbaarheden worden misbruikt en dat de potentiële schade groot kan zijn.

Wat is een Exchange Server?

Exchange is een product van Microsoft dat wordt ingezet als mailserver om e-mails te ontvangen en verzenden met vaak een eigen domein (@bedrijf.nl) als afzender. Daarnaast geeft een Exchange Server de mogelijkheid om e-mail, contacten en agenda’s te synchroniseren met verschillende apparaten.

Veel bedrijven gebruiken tegenwoordig e-mail in de cloud zoals bijvoorbeeld Office365 of Gmail, maar ondanks deze trend zijn er ook nog veel bedrijven die een eigen e-mailserver draaien. In veel gevallen wordt hiervoor Microsoft Exchange Server gebruikt.

Wat is het risico?

Door het misbruiken van een fout in de manier waarop Microsoft Exchange 2016 en 2019 omgaat met objecten in het werkgeheugen, kan een aanvaller op afstand willekeurige code uitvoeren en hierdoor een kwetsbare Exchange Server volledig overnemen. Een aanvaller kan deze fout misbruiken door een speciaal e-mailbericht naar een kwetsbare Exchange Server te sturen.

Wat kan ik doen?

Wanneer je gebruik maakt van een Exchange Server versie 2016/2019 of het niet zeker weet, dan is het aan te raden om contact op te nemen met je IT-dienstverlener. Hierbij is het belangrijk om na te gaan of de beschikbare update al is geïnstalleerd. Als dat niet het geval is, raden wij aan deze zo snel mogelijk te (laten) installeren.
Op de website van Microsoft is alle noodzakelijke informatie hierover te vinden.

Aanvullende Informatie

Let op. Weet dat beveiligingsupdates voor Microsoft Exchange alleen beschikbaar zijn voor servers die een bepaalde versie van de zogenaamde “Cumulative Update” geïnstalleerd hebben staan. Een “Cumulative Update” brengt Microsoft per Exchange Server versie om de 3 à 4 maanden uit. Voor Exchange Server 2013, 2016 en 2019 dient een “Cumulative Update” handmatig geïnstalleerd te worden. Je kunt dus niet alleen leunen op automatische updates. Microsoft geeft op de volgende pagina meer informatie over de beschikbare “Cumulative Updates” en hoe je kunt nagaan welke geïnstalleerd staat.

De beveiligingsupdate voor de hierboven beschreven kwetsbaarheid is beschikbaar voor de volgende versies:

  • Microsoft Exchange Server 2016 Cumulative Update 16
  • Microsoft Exchange Server 2016 Cumulative Update 17
  • Microsoft Exchange Server 2019 Cumulative Update 5
  • Microsoft Exchange Server 2019 Cumulative Update 6