Четыре 'нулевых' угрозы в Microsoft Exchange: система под прицелом хакеров

В Microsoft Exchange обнаружены четыре уязвимости нулевого дня, которые позволяют злоумышленникам удаленно выполнять произвольный код и похищать конфиденциальные данные. Информация о проблемах была раскрыта исследовательской группой Trend Micro's Zero Day Initiative (ZDI), которая сообщила о них Microsoft 7 и 8 сентября 2023 года.

Несмотря на подтверждение получения отчетов, инженеры Microsoft не сочли уязвимости настолько серьезными, чтобы требовать немедленного устранения, отложив выпуск исправлений на более поздний срок. ZDI, не согласившись с таким решением, опубликовала информацию об уязвимостях под своими идентификаторами, чтобы предупредить администраторов Exchange о рисках безопасности.

Среди уязвимостей:

• ZDI-23-1578 : Уязвимость удаленного выполнения кода в классе 'ChainedSerializationBinder', где данные пользователя не проверяются должным образом, что позволяет злоумышленникам десериализовать ненадежные данные. Успешное использование этой уязвимости позволяет атакующему выполнять произвольный код от имени 'SYSTEM' — с наивысшими привилегиями в Windows.
  
• ZDI-23-1579 : Уязвимость, связанная с методом 'DownloadDataFromUri', возникает из-за недостаточной проверки URI перед доступом к ресурсу, что может привести к несанкционированному доступу к конфиденциальной информации серверов Exchange.
  
• ZDI-23-1580 и ZDI-23-1581 : Обе связаны с неправильной проверкой URI, что также может привести к утечке конфиденциальной информации.
  

Для эксплуатации всех этих уязвимостей требуется аутентификация, что снижает их критичность согласно рейтингу CVSS до 7.1-7.5. Тем не менее, необходимость аутентификации является смягчающим фактором и, возможно, поэтому Microsoft не приоритизировала исправление этих багов.

Однако следует отметить, что у киберпреступников есть множество способов получить учетные данные Exchange, включая подбор слабых паролей, фишинговые атаки, покупку или получение их из журналов вредоносных программ.

ZDI подчеркивает, что единственной эффективной стратегией смягчения последствий является ограничение взаимодействия с приложениями Exchange, хотя это может быть неприемлемо для многих компаний и организаций, использующих этот продукт.

Также рекомендуется внедрение многофакторной аутентификации для предотвращения доступа киберпреступников к экземплярам Exchange даже в случае компрометации учетных данных.