La vulnerabilidad, la cual afecta al componente Microsoft Exchange Online, ha intentado ser parcheada en dos ocasiones sin éxito, por lo que se ha liberado al pasar 6 meses desde que se reportó.
El investigador de seguridad Steven Seeley de Qihoo 360 Vulcan Team y ganador del Pwn2Own ICS 2020, ha publicado en su blog los resultados de su investigación y de los reportes realizados a Microsoft acerca de una vulnerabilidad en Microsoft Exchange Online, sin que ésta se haya resuelto todavía tras dos parches.
Microsoft Exchange Online es un componente de Microsoft Office 365, una popular suite ofimática utilizada por 200 millones de usuarios. Este componente para funcionar hace uso de una API ASP.NET la cual hace de proxy a varias instancias las cuales reciben comandos de powershell para su ejecución, punto en el cual se ha encontrado el error.
Steven empezó a investigar este posible punto de fallo al haberse encontrado ya vulnerabilidades en el pasado (CVE-2020-0688 y CVE-2019-1373). Tras su investigación encontró unos roles disponibles en la instancia que permiten escalar privilegios en la línea de comandos powershell, fallo que fue identificado como CVE-2020-16875 y resuelto con un parche.
Para evitar la vulnerabilidad, Microsoft añadió un validador a la función, parche que analizó el investigador y del que se encontraron 2 nuevas formas de saltarlo. Esta nueva vulnerabilidad con el parche ha sido identificada como CVE-2020-17132, la cual fue de nuevo resuelta con un validador más robusto.
Contra todo pronóstico de los acontecimientos, este nuevo parche ha resultado, de nuevo, ser vulnerable. El fallo ha sido de nuevo reportado a Microsoft, pero que aún no se ha podido resolver. Al haber superado el tiempo máximo para parchearlo el investigador ha publicado sus resultados tras 6 meses desde su primer reporte.
La vulnerabilidad, a pesar de no estar resuelta, ya ha sido recompensada gracias al programa Office 365 Cloud Bounty, el cual paga hasta 20.000 dólares por notificar vulnerabilidades.