Microsoft Exchange zero-days
Microsoft Exchange zero-days
Samenvatting
Microsoft wordt getroffen door vier zero-day-kwetsbaarheden die op afstand kunnen worden misbruikt om willekeurige code uit te voeren voor het Microsoft Exchange-product. De kwetsbaarheden werden op 7 en 8 september bekendgemaakt door het Trend micro zero day-initiatief.
- ZDI-23-1578 (CVSS-score 7,5 hoog) – Een RCE-fout (Remote Code Execution) in de klasse ‘ChainedSerializationBinder’, waarbij gebruikersgegevens niet adequaat worden gevalideerd, waardoor aanvallers niet-vertrouwde gegevens kunnen deserialiseren. Succesvolle exploitatie stelt een aanvaller in staat willekeurige code uit te voeren als ‘SYSTEEM’, het hoogste privilegeniveau op Windows.
- ZDI-23-1579 (CVSS-score 7,1 hoog) – Deze fout bevindt zich in de ‘DownloadDataFromUri’-methode en is te wijten aan onvoldoende validatie van een URI vóór toegang tot bronnen. Aanvallers kunnen het misbruiken om toegang te krijgen tot gevoelige informatie van Exchange-servers.
- ZDI-23-1580 (CVSS-score 7,1 hoog) – Deze kwetsbaarheid, in de ‘DownloadDataFromOfficeMarketPlace’-methode, komt ook voort uit onjuiste URI-validatie, wat mogelijk kan leiden tot ongeoorloofde openbaarmaking van informatie.
- ZDI-23-1581 (CVSS-score 7,1 hoog) – Deze fout is aanwezig in de CreateAttachmentFromUri-methode en lijkt op de vorige bugs met onvoldoende URI-validatie, wat opnieuw het risico met zich meebrengt dat gevoelige gegevens worden blootgesteld.
Aanbevelingen
ZDI-23-1578 is opgelost in de beveiligingsupdate van augustus. Voor ZDI-23-1579, ZDI-23-1580, ZDI-23-1581 is voorafgaande toegang tot de e-mailgegevens vereist. De andere aanbeveling is om de applicatie-interactie te beperken.