ZDI研究人员披露四个Microsoft Exchange中的0day漏洞
2023-11-8 17:44:6 Author: mp.weixin.qq.com(查看原文) 阅读量:12 收藏

11月3日,趋势科技的ZDI研究人员披露了四个Microsoft Exchange中的零日漏洞,攻击者可以远程利用这些漏洞执行任意代码或泄露敏感信息。

ZDI于2023年9月7日、8日向微软报告了这些漏洞,但微软对此表示,ZDI披露的四个Exchange漏洞要么已经修复,要么不需要立即关注。ZDI则转而根据其负责任披露政策选择公开披露这些漏洞。以下是ZDI披露的漏洞列表:

ZDI-23-1578 - Microsoft Exchange ChainedSerializationBinder

该漏洞为未经信任数据反序列化远程代码执行漏洞

此漏洞允许远程攻击者在受影响的Microsoft Exchange安装上执行任意代码。利用此漏洞需要进行身份验证。具体缺陷存在于ChainedSerializationBinder类中。问题在于缺乏对用户提供的数据的适当验证,这可能导致未经信任数据的反序列化。攻击者可以利用此漏洞在SYSTEM上下文中执行代码。

ZDI-23-1579 - Microsoft Exchange DownloadDataFromUri

ZDI-23-1580 - Microsoft Exchange DownloadDataFromOfficeMarketPlace
ZDI-23-1581 - Microsoft Exchange CreateAttachmentFromUri

这三个都为服务器端请求伪造信息泄露漏洞

这些漏洞允许远程攻击者在受影响的Microsoft Exchange安装上泄露敏感信息。利用这些漏洞都需要进行身份验证。问题在于在访问资源之前缺乏对URI的适当验证。攻击者可以利用这些漏洞在Exchange服务器上下文中泄露信息。

对于第一个数据反序列化问题,微软表示该漏洞实际上已经得到修复。应用了8月份的安全更新的客户已经受到保护。

余下的问题被描述为服务器端请求伪造(SSRF)漏洞,可能导致信息泄露。对于这些安全漏洞,微软指出,利用它们需要事先获得电子邮件凭据。对于其中两个漏洞,微软还指出,没有提供证据表明它们可以被利用来提升特权或获取敏感客户信息。

微软的发言人说道:“我们向这位发现者表示感谢。我们已经审查了这些报告,并发现它们要么已经得到解决,要么不符合我们的严重性分类准则下的立即修复标准,我们将评估在未来的产品版本和更新中适当地解决它们。” 

编辑:左右里

资讯来源:ZDI、securityweek

转载请注明出处和本文链接

每日涨知识

利用(Exploit)       

利用信息系统中的漏洞的行为。也用于描述一种用于破坏网络安全性的技术。



球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458527750&idx=2&sn=d409b478da057c37c54d527677a63e02&chksm=b18d188c86fa919a5f6e3f844c7b04b52a356f7ed5172735455519ff3c315bf5af086c8891b5&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh