CVE-2020-0688

Nome do Software Vulnerável e Versões Afetadas Microsoft Exchange Server (versões afetadas não especificadas)

Descrição Um problema de execução remota de código existe no Microsoft Exchange Server devido à falha na criação adequada de chaves exclusivas durante a instalação. Esta falha, também referida como um problema de corrupção de memória, decorre de deficiências no mecanismo de desserialização. Um usuário autenticado com uma caixa de correio que possua a chave de validação pode passar objetos arbitrários para serem desserializados pelo aplicativo web, que opera com privilégios de SYSTEM. A exploração no mundo real foi observada na Ásia, visando agências governamentais e empresas de alta tecnologia por meio de um backdoor sofisticado chamado GhostContainer. Este malware utiliza o arquivo App Web Container 1.dll como um contêiner, empregando a classe Stub para análise de comandos e a classe App Web 843e75cf5b63 como um carregador de proxy web. Ele evita a detecção sobrescrevendo endereços de memória em amsi.dll e ntdll.dll para ignorar a Interface de Verificação de Malware (AMSI) e o log de eventos do Windows.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.