Эксперты ZDI раскрыли критические уязвимости, требующие немедленных действий.
В Microsoft Exchange обнаружены четыре уязвимости нулевого дня, которые позволяют злоумышленникам удаленно выполнять произвольный код и похищать конфиденциальные данные. Информация о проблемах была раскрыта исследовательской группой Trend Micro's Zero Day Initiative (ZDI), которая сообщила о них Microsoft 7 и 8 сентября 2023 года.
Несмотря на подтверждение получения отчетов, инженеры Microsoft не сочли уязвимости настолько серьезными, чтобы требовать немедленного устранения, отложив выпуск исправлений на более поздний срок. ZDI, не согласившись с таким решением, опубликовала информацию об уязвимостях под своими идентификаторами, чтобы предупредить администраторов Exchange о рисках безопасности.
Среди уязвимостей:
Для эксплуатации всех этих уязвимостей требуется аутентификация, что снижает их критичность согласно рейтингу CVSS до 7.1-7.5. Тем не менее, необходимость аутентификации является смягчающим фактором и, возможно, поэтому Microsoft не приоритизировала исправление этих багов.
Однако следует отметить, что у киберпреступников есть множество способов получить учетные данные Exchange, включая подбор слабых паролей, фишинговые атаки, покупку или получение их из журналов вредоносных программ.
ZDI подчеркивает, что единственной эффективной стратегией смягчения последствий является ограничение взаимодействия с приложениями Exchange, хотя это может быть неприемлемо для многих компаний и организаций, использующих этот продукт.
Также рекомендуется внедрение многофакторной аутентификации для предотвращения доступа киберпреступников к экземплярам Exchange даже в случае компрометации учетных данных.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале