聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这些0day 漏洞是由趋势科技的ZDI 团队披露的,后者在2023年9月7日和8日告知微软。尽管微软确认了这些漏洞,但其开发工程师认为严重程度不足以得到立即修复,因此推迟修复动作。
ZDI 不认同该看法,并决定通过自身的追踪ID编号来发布这些漏洞,提醒 Exchange 管理员注意这些漏洞带来的风险。
这些漏洞概述如下:
ZDI-23-1578:“ChainedSerializationBinder” 类中存在一个远程代码执行 (RCE) 漏洞。该类中的用户数据未得到正确验证,导致攻击者可反序列化不受信任的数据。成功利用该漏洞可导致攻击者以系统权限执行任意代码。
ZDI-23-1579:该漏洞位于 “DownloadDataFromUri” 方法中,是因为在资源访问前的URI验证不充分造成的。攻击者可利用该漏洞访问 Exchange 服务器中的敏感信息。
ZDI-23-1580:该漏洞位于 “DownloadDataFromOfficeMarketPlace”方法中,也是因为URI验证不当造成的,可导致未授权的信息泄露后果。
ZDI-23-1581:位于 CreateAttachmentFromUri 方法中,与上述URI验证不当的漏洞类似,也可导致敏感信息遭暴露。
要利用这些漏洞均需要获得认证,因此它们的CVSS评分介于7.1至7.5之间。另外,要求认证是一个缓解因素,而这可能是微软并未优先修复的原因所在。
尽管如此,应该注意的是,网络犯罪分子获得 Exchange 凭据的方法有很多,包括暴力破解弱密码、执行钓鱼攻击、购买凭据或者从信息窃取器日志中获取。话虽如此,但不应轻视上述漏洞的重要性,尤其是 ZDI-23-1578 (ZDI) 漏洞可导致系统遭完全攻陷。
ZDI 建议称唯一重要的缓解措施是限制与 Exchange 应用的交互。然而,对于很多使用该产品的公司和组织机构而言无法被接受。建议即使账户凭据被攻陷时,也要执行多因素认证,阻止网络犯罪分子访问 Exchange 实例。
微软的一名发言人回应称,“感谢这名漏洞发现人员在协同漏洞披露的条件下提交了这些漏洞,我们致力于采取必要措施保护客户安全。我们已经审计了这些报告并发现漏洞要么已被修复,要么未满足严重性分类指南中要求的立即服务标准。我们将在未来的产品版本中评估修复事宜并妥善更新。”
另外,微软还对每个漏洞提供了更多信息:
ZDI-23-1578相关:应用了八月安全更新的客户已受到保护。
ZDI-23-1581:所述技术要求攻击者提前拥有访问邮件凭据的权限,且未有证据表明该漏洞可用于获得提权权限。
ZDI-23-1579:所述技术要求攻击者提前拥有访问邮件凭据的权限。
ZDI-23-1580:所述技术要求攻击者提前拥有访问邮件凭据的权限,且未有证据表明该漏洞可用于访问敏感的客户信息。
【已复现】Microsoft Exchange Server "OWASSRF" 漏洞安全风险通告
https://www.bleepingcomputer.com/news/microsoft/new-microsoft-exchange-zero-days-allow-rce-data-theft-attacks/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh