11月3日,趨勢科技的ZDI研究人員披露了四個Microsoft Exchange中的零日漏洞,攻擊者可以遠端利用這些漏洞執行任意程式碼或洩露敏感資訊。
ZDI於2023年9月7日、8日向微軟報告了這些漏洞,但微軟對此表示,ZDI披露的四個Exchange漏洞要麼已經修復,要麼不需要立即關注。ZDI則轉而根據其負責任披露政策選擇公開披露這些漏洞。以下是ZDI披露的漏洞列表:
ZDI-23-1578 - Microsoft Exchange ChainedSerializationBinder
該漏洞為未經信任資料反序列化遠端程式碼執行漏洞
此漏洞允許遠端攻擊者在受影響的Microsoft Exchange安裝上執行任意程式碼。利用此漏洞需要進行身份驗證。具體缺陷存在於ChainedSerializationBinder類中。問題在於缺乏對使用者提供的資料的適當驗證,這可能導致未經信任資料的反序列化。攻擊者可以利用此漏洞在SYSTEM上下文中執行程式碼。
ZDI-23-1579 - Microsoft Exchange DownloadDataFromUri
ZDI-23-1580 - Microsoft Exchange DownloadDataFromOfficeMarketPlace
ZDI-23-1581 - Microsoft Exchange CreateAttachmentFromUri
這三個都為伺服器端請求偽造資訊洩露漏洞
這些漏洞允許遠端攻擊者在受影響的Microsoft Exchange安裝上洩露敏感資訊。利用這些漏洞都需要進行身份驗證。問題在於在訪問資源之前缺乏對URI的適當驗證。攻擊者可以利用這些漏洞在Exchange伺服器上下文中洩露資訊。
對於第一個資料反序列化問題,微軟表示該漏洞實際上已經得到修復。應用了8月份的安全更新的客戶已經受到保護。
餘下的問題被描述為伺服器端請求偽造(SSRF)漏洞,可能導致資訊洩露。對於這些安全漏洞,微軟指出,利用它們需要事先獲得電子郵件憑據。對於其中兩個漏洞,微軟還指出,沒有提供證據表明它們可以被利用來提升特權或獲取敏感客戶資訊。
微軟的發言人說道:“我們向這位發現者表示感謝。我們已經審查了這些報告,並發現它們要麼已經得到解決,要麼不符合我們的嚴重性分類準則下的立即修復標準,我們將評估在未來的產品版本和更新中適當地解決它們。”
編輯:左右裡
資訊來源:ZDI、securityweek
轉載請註明出處和本文連結