Microsoft Exchange подвержен четырем уязвимостям нулевого дня, которые злоумышленники могут удаленно использовать для выполнения произвольного кода или раскрытия конфиденциальной информации на затронутых установках.
Уязвимости "нулевого дня" были раскрыты специалистами инициативы Zero Day Initiative (ZDI) компании Trend Micro, которые сообщили о них в Microsoft 7 и 8 сентября 2023 года.
Несмотря на то, что Microsoft подтвердила сообщение, ее инженеры по безопасности решили, что дефекты не настолько серьезны, чтобы гарантировать их немедленное устранение, и отложили исправления на более поздний срок.
Компания ZDI не согласилась с таким ответом и решила опубликовать дефекты под собственными идентификаторами отслеживания, чтобы предупредить администраторов Exchange о рисках безопасности.
Краткое описание дефектов приведено ниже:
- ZDI-23-1578 - Дефект удаленного выполнения кода (RCE) в классе 'ChainedSerializationBinder', где пользовательские данные не проверяются должным образом, что позволяет злоумышленникам десериализовать недоверенные данные. Успешная эксплуатация позволяет злоумышленнику выполнить произвольный код от имени 'SYSTEM', что является наивысшим уровнем привилегий в Windows.
- ZDI-23-1579 - Ошибка, обнаруженная в методе 'DownloadDataFromUri', связана с недостаточной проверкой URI перед доступом к ресурсу. Злоумышленники могут использовать ее для получения доступа к конфиденциальной информации с серверов Exchange.
- ZDI-23-1580 - Данная уязвимость в методе 'DownloadDataFromOfficeMarketPlace' также связана с неправильной проверкой URI, что может привести к несанкционированному раскрытию информации.
- ZDI-23-1581 - присутствующая в методе CreateAttachmentFromUri, эта уязвимость похожа на предыдущие, поскольку неадекватно проверяет URI, что также чревато раскрытием конфиденциальных данных.
Все эти уязвимости требуют аутентификации для эксплуатации, что снижает их рейтинг серьезности по шкале CVSS до 7.1-7.5. Более того, требование аутентификации является фактором, снижающим риск, и, возможно, именно поэтому Microsoft не стала уделять приоритетное внимание исправлению этих ошибок.
Следует, однако, отметить, что у злоумышленников есть множество способов получения учетных данных Exchange, включая перебор слабых паролей, фишинговые атаки, их покупку или получение из журналов похитителей информации.
Тем не менее, не стоит относиться к перечисленным выше "нулевым дням" как к малозначимым, особенно к ZDI-23-1578 (RCE), который может привести к полной компрометации системы.
ZDI предлагает единственную эффективную стратегию борьбы с проблемой - ограничение взаимодействия с приложениями Exchange. Однако для многих предприятий и организаций, использующих этот продукт, это может оказаться неприемлемым нарушением работы.
Мы также рекомендуем внедрить многофакторную аутентификацию, чтобы предотвратить доступ злоумышленников к экземплярам Exchange даже в том случае, если учетные данные были скомпрометированы.
Обновление 11/4 - Представитель Microsoft ответил на запрос Герман Геншин о комментарии следующим заявлением:
"Мы высоко ценим работу этого автора, представившего эти проблемы в рамках скоординированного раскрытия информации об уязвимостях, и готовы принять необходимые меры для защиты пользователей. Мы рассмотрели эти сообщения и решили, что они либо уже устранены, либо не соответствуют требованиям для немедленного обслуживания в соответствии с нашими правилами классификации серьезности, и рассмотрим возможность их надлежащего устранения в будущих выпусках продуктов и обновлениях", - представитель Microsoft.
Кроме того, Microsoft предоставила следующую дополнительную информацию о каждом из обнаруженных дефектов:
- Что касается ZDI-23-1578: Клиенты, применившие августовские обновления безопасности, уже защищены.
- Относительно ZDI-23-1581: Описанная техника требует от злоумышленника предварительного доступа к учетным данным электронной почты, и не было представлено никаких доказательств того, что она может быть использована для повышения привилегий.
- Относительно ZDI-23-1579: Описанная методика требует от злоумышленника предварительного доступа к учетным данным электронной почты.
- Относительно ZDI-23-1580: Описанная методика требует от злоумышленника предварительного доступа к учетным данным электронной почты, и не было представлено никаких доказательств того, что она может быть использована для получения доступа к конфиденциальной информации о клиентах.
- По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
