A Microsoft Exchange-ben négy újabb zero-day sebezhetőséget találtak, melyeket RCE támadásokra és érzékeny adatok kiszivárogtatására lehet kihasználni. A hibákat a Trend Micro vállalat ZDI csapata (Zero Day Initiative) hozta nyilvánosságra november 2-án, de a Microsoft felé már szeptember 7-én jelezték.
A Microsoft tudomásul vette a bejelentést, de a hibákat nem tartotta elég súlyosnak ahhoz, hogy azok javítását azonnal végrehajtsa, így ezeket későbbre halasztotta.
A ZDI nem értett egyet ezzel a válasszal, ezért saját követési azonosítóval közzétette a hibákat, hogy felhívja az Exchange rendszergazdák figyelmét a helyzet súlyosságára:
- ZDI-23-1578 – Egy RCE hiba, a „ChainedSerializationBinder” osztályban, ahol a felhasználói adatokat nem megfelelően hitelesítik, ezáltal a támadóknak lehetősége nyílik nem megbízható adatok deserialization-jére. Sikeres exploit esetén a támadó tetszőleges kódot hajthat végre „SYSTEM”-ként, ami a Windows legfelsőbb privilégium szintje.
- ZDI-23-1579 – A hiba a „DownloadDataFromUri” metódusban található, és a nem megfelelő URI érvényesítésből származik. Kihasználható az Exchange szerverekről származó információk hozzáféréshez.
- ZDI-23-1580 – Ez a sebezhetőség a „DownloadDataFromOfficeMarketPlace” metódusban található, és szintén a nem megfelelő URI érvényesítésből ered. Jogosulatlan információ szivárogtatáshoz használható.
- ZDI-23-1581 – A „CreateAttachmentFromUri” metódusban található, hasonszőrű az előző két hibához: szintén nem megfelelő URI érvényesítésből ered és kihasználásával érzékeny adatok szivárogtathatók ki.
Ezen hibák mindegyike hitelesítést igényel, amely a CVSS szerinti súlyossági besorolásukat 7,1 és 7,5 közé csökkenti. Feltehetően ez volt az oka, amiért a Microsoft nem tartotta szükségesnek a hibák azonnali javítását. Fontos megjegyezni, hogy a szükséges hitelesítő adatokat egy kiberbűnöző rengeteg módon megszerezheti, így nem szabad félvállról venni ezeket a hibákat. Ez különösen érvényes a ZDI-23-1578-ra, ami RCE mivolta miatt akár az egész rendszert használhatatlanná teheti.
A ZDI azt javasolja, hogy korlátozzuk az Exchange alkalmazásokkal való interakciót, azonban ez bizonyos vállalatok esetében különösen zavaró lehet. Érdemes többlépcsős hitelesítő folyamatot bevezetni és alkalmazni így a jogosulatlan hozzáférés abban az esetben is meggátolható, ha a fiókok már korábban kompromittálódtak.
A Microsoft utólag azt nyilatkozta, hogy a ZDI-23-1578-tól védettek azok az ügyfelek, akik installálták az augusztusi biztonsági frissítéseket. A többi említett hiba esetében a támadónak előzetes hozzáféréssel kell rendelkezniük az e-mail hitelesítési adatokhoz, és a ZDI-23-1580 és a ZDI23-1581 esetében nincs bizonyíték arra, hogy a hibákat jogosultságok emelésére lehetne használni.
