今年9月7日-8日,趋势科技的零日计划(ZDI)向微软报告了这些漏洞。
微软方面承认确实存在这些漏洞,但此前已于Exchange安全更新中修复了最为严重的ZDI-23-1578漏洞,另外三个漏洞也会在后续的安全更新中修复。
微软方面提示广大用户:Exchange服务器的安全更新和EDR很重要,请大家及时更新到10月份最新的安全更新版本,并部署 Microsoft Defender for Endpoint 以达到 Exchange服务器系统的最佳保护效果。
以下是ZDI披露的漏洞信息列表:
·ZDI-23-1578 - Microsoft Exchange ChainedSerializationBinder Deserialization of Untrusted Data 远端执行程序代码漏洞: 此漏洞允许远端攻击者在微软Exchange 安裝上执行任意代码。此漏洞存在于 ChainedSerializationBinder 中,利用此漏洞需要进行身份验证。这个漏洞是由于缺乏对用户提供数据的适当验证,才导致出现了反序列化不受信任的数据。攻击者可利用此漏洞在 系统中执行代码。
· ZDI-23-1579 – Microsoft Exchange DownloadDataFromUri 服务器端请求伪造信息泄露漏洞 :此漏洞可能导致远程攻击者泄露敏感信息。DownloadDataFromUri 中存在漏洞,利用此漏洞需要身份验证。导致这个漏洞的原因是由于在访问资源之前缺少对 URI 的正确验证所致。攻击者可利用此漏洞泄露 Exchange 服务器信息。
· ZDI-23-1580– Microsoft Exchange DownloadDataFromOfficeMarketPlace 服务器端请求伪造信息泄露漏洞:此漏洞可能导致远程攻击者泄露敏感信息,利用此漏洞需要身份验证。DownloadDataFromOfficeMarketPlace 中存在漏洞。造成此漏洞的原因同样是由于在访问资源之前缺少对 URI 的正确验证所致。攻击者仍可利用此漏洞泄露 Exchange 服务器信息。
· ZDI-23-1581– Microsoft Exchange CreateAttachmentFromUri 服务器端请求伪造信息泄露漏洞:CreateAttachmentFromUri中存在漏洞,利用此漏洞需要身份验证。该漏洞是由于在访问资源之前缺少对 URI 的正确验证所致。攻击者可利用此漏洞泄露 Exchange 服务器信息。
这些漏洞是由 Trend Micro Zero Day Initiative 的 Piotr Bazydlo发现的。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
