Zero-day zraniteľnosti v Microsoft Exchange

Bezpečnostný expert, Piotr Bazydlo, spoločnosti Trend Micro Zero Day Initiative (ZDI) identifikoval štyri vysoko závažné zero-day zraniteľnosti na platforme Microsoft Exchange. Úspešné zneužitie umožňuje pristupovať k citlivým údajom a vzdialene vykonávať kód.

Zraniteľné systémy:

Microsoft Exchange

Opis činnosti:

ZDI-23-1578 (CVSS skóre 7,5)

Zraniteľnosť ZDI-23-1578 sa týka chyby umožňujúcej eskaláciu oprávnení a deserializáciu nedôveryhodných dát v triede Chained SerializationBinder, čo umožňuje útočníkovi získať oprávnenia typu SYSTEM. Úspešné zneužitie umožňuje útočníkovi získať schopnosť vzdialene vykonať kód (RCE).

ZDI-23-1579 (CVSS skóre 7,1) ZDI-23-1580 (CVSS skóre 7,1) ZDI-23-1581 (CVSS skóre 7,1)

ZDI-23-1579 sa nachádza v metóde ‚DownloadDataFromUri‘. ZDI-23-1581 sa nachádza vo funkcii/metóde CreateAttachmentFromUri. ZDI-23-1580 sa nachádza v DownloadDataFromOfficeMarketPlace.Úspešné zneužitie umožňuje útočníkom pristupovať k citlivým údajom v Microsoft Exchange. Všetky tri zraniteľnosti sa týkajú chybnej validácie URI.

Všetky štyri zraniteľnosti vyžadujú autentifikáciu a prístup útočníka k povereniam na elektronickú poštu.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

  • Eskalácia privilégií
  • Únik informácií
  • Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia na najnovšiu verziu. Nasadenie viacfaktorovej autentifikácie je jednou formou mitigácie.

Odkazy:

https://securityaffairs.com/153599/hacking/microsoft-exchange-zero-day-flaws.html

https://www.bleepingcomputer.com/news/microsoft/new-microsoft-exchange-zero-days-allow-rce-data-theft-attacks/

https://www.securityweek.com/microsoft-says-exchange-zero-days-disclosed-by-zdi-already-patched-or-not-urgent/

https://www.zerodayinitiative.com/advisories/ZDI-23-1578/

https://www.zerodayinitiative.com/advisories/ZDI-23-1579/

https://www.zerodayinitiative.com/advisories/ZDI-23-1580/

https://www.zerodayinitiative.com/advisories/ZDI-23-1581/