Microsoft Exchange: négy hónapot késett a hibajavítás dokumentációja

 

Egy vietnámi biztonsági kutató, Le Xuan Tuyen fedezte fel azt a Microsoft Exchange szervert érintő sérülékenységet (CVE-2021-33766), amelyhez ugyan még áprilisban kiadásra került a javítás, a hozzá tartozó dokumentációt azonban csak augusztus 24-én csatolta a Microsoft. A szituációt tovább bonyolítja, hogy a ZDI szerint a hiba csak egy júliusban kiadott javítással foltozható be. A ProxyTokenre keresztelt biztonsági hiba lehetővé tette a támadók számára, hogy távolról hitelesítés nélkül nélkül végezzenek konfiguráció-módosításokat a sérülékeny levelezőszervereken, amivel átirányíthatták az ugyanazon Exchange szervert használó ügyfelek leveleit a támadó által ellenőrzött fiókba. A Microsoft Exchange hibajavítási eljárásrendje már több kritikát kapott korábban is, ugyanis a rosszul ─ vagy egyáltalán nem ─ dokumentált biztonsági javítások szükségtelenül megnehezítik az adminisztrátorok munkáját. A kumulatív frissítések és soron kívüli biztonsági javítások zűrzavarában az Exchange szerverek pedig végül sok esetben nem kerülnek megfelelően frissítésre. Mindez a Heise.de szerint azt a benyomást keltheti, hogy a Microsoft tudatosan elfogadja ezt, annak reményében, hogy a csalódott ügyfelek előbb-utóbb inkább átállnak a cég felhőszolgáltatására, a Microsoft 365-re.

(heise.de)