В Trend Micro Zero Day Initiative (ZDI) предупредили, что Microsoft Exchange подвержен сразу четырем 0-day уязвимостям, которые хакеры могут использовать удаленно для выполнения произвольного кода или раскрытия конфиденциальной информации. При этом инженеры Microsoft сочли, что уязвимости недостаточно серьезны и отложили патчи для них на потом.
Проблемы были выявлены специалистами ZDI еще в сентябре 2023 года, и хотя в Microsoft призаняли наличие уязвимостей, в компании не посчитали их достаточно серьезными. Эксперты ZDI не согласились с этой оценкой и решили обнародовать информацию о багах, чтобы предупредить администраторов Exchange о возможных рисках.
ZDI-23-1578: RCE-уязвимость в классе ChainedSerializationBinder, связанная с тем, что пользовательские данные не проверяются надлежащим образом, что позволяет злоумышленникам десериализовать недоверенные данные. Успешная эксплуатация позволяет выполнить произвольный код с правами SYSTEM.
ZDI-23-1579: уязвимость находится в методе DownloadDataFromUri, связанная с недостаточной проверкой URI перед доступом к ресурсу. Злоумышленники могут использовать ее для получения доступа к конфиденциальной информации с серверов Exchange.
ZDI-23-1580: уязвимость в методе DownloadDataFromOfficeMarketPlace так же связана с неправильной проверкой URI и может привести к несанкционированному раскрытию информации.
ZDI-23-1581: баг, присутствующий в методе CreateAttachmentFromUri, похожа на предыдущие, поскольку некорректно проверяет URI, что тоже чревато раскрытием конфиденциальных данных.
Для эксплуатации всех этих уязвимостей требуется аутентификация, что снижает их серьезность (от 7,1 до 7,5 балла по шкале CVSS). Вероятно, именно поэтому Microsoft решила не уделять приоритетное внимание исправлению этих ошибок.
Тем не менее, ZDI отмечает, что не стоит считать перечисленные выше проблемы малозначимыми, особенно ZDI-23-1578 (RCE), которая может привести к полной компрометации системы. При этом исследователи предложили единственную стратегию защиты — ограничение на взаимодействие с приложениями Exchange. Однако это может оказаться неприемлемым для многих предприятий и организаций, использующих данный продукт.
Представители Microsoft комментируют ситуацию следующим образом:
Кроме того, Microsoft предоставила дополнительную информацию по каждому из обнаруженных багов:
ZDI-23-1578: пользователи, установившие августовские обновления безопасности, уже защищены.
ZDI-23-1581: описанная техника атак требует от злоумышленника предварительного доступа к учетным данным электронной почты, и не было представлено никаких доказательств того, что эта проблема может использоваться для повышения привилегий.
ZDI-23-1579: описанная методика атак требует от злоумышленника предварительного доступа к учетным данным электронной почты.
ZDI-23-1580: описанная методика атак требует от злоумышленника предварительного доступа к учетным данным электронной почты, и не было представлено никаких доказательств того, что эта проблема может использоваться для получения доступа к конфиденциальной информации о клиенте.
Проблемы были выявлены специалистами ZDI еще в сентябре 2023 года, и хотя в Microsoft призаняли наличие уязвимостей, в компании не посчитали их достаточно серьезными. Эксперты ZDI не согласились с этой оценкой и решили обнародовать информацию о багах, чтобы предупредить администраторов Exchange о возможных рисках.
ZDI-23-1578: RCE-уязвимость в классе ChainedSerializationBinder, связанная с тем, что пользовательские данные не проверяются надлежащим образом, что позволяет злоумышленникам десериализовать недоверенные данные. Успешная эксплуатация позволяет выполнить произвольный код с правами SYSTEM.
ZDI-23-1579: уязвимость находится в методе DownloadDataFromUri, связанная с недостаточной проверкой URI перед доступом к ресурсу. Злоумышленники могут использовать ее для получения доступа к конфиденциальной информации с серверов Exchange.
ZDI-23-1580: уязвимость в методе DownloadDataFromOfficeMarketPlace так же связана с неправильной проверкой URI и может привести к несанкционированному раскрытию информации.
ZDI-23-1581: баг, присутствующий в методе CreateAttachmentFromUri, похожа на предыдущие, поскольку некорректно проверяет URI, что тоже чревато раскрытием конфиденциальных данных.
Для эксплуатации всех этих уязвимостей требуется аутентификация, что снижает их серьезность (от 7,1 до 7,5 балла по шкале CVSS). Вероятно, именно поэтому Microsoft решила не уделять приоритетное внимание исправлению этих ошибок.
Тем не менее, ZDI отмечает, что не стоит считать перечисленные выше проблемы малозначимыми, особенно ZDI-23-1578 (RCE), которая может привести к полной компрометации системы. При этом исследователи предложили единственную стратегию защиты — ограничение на взаимодействие с приложениями Exchange. Однако это может оказаться неприемлемым для многих предприятий и организаций, использующих данный продукт.
Представители Microsoft комментируют ситуацию следующим образом:
Кроме того, Microsoft предоставила дополнительную информацию по каждому из обнаруженных багов:
ZDI-23-1578: пользователи, установившие августовские обновления безопасности, уже защищены.
ZDI-23-1581: описанная техника атак требует от злоумышленника предварительного доступа к учетным данным электронной почты, и не было представлено никаких доказательств того, что эта проблема может использоваться для повышения привилегий.
ZDI-23-1579: описанная методика атак требует от злоумышленника предварительного доступа к учетным данным электронной почты.
ZDI-23-1580: описанная методика атак требует от злоумышленника предварительного доступа к учетным данным электронной почты, и не было представлено никаких доказательств того, что эта проблема может использоваться для получения доступа к конфиденциальной информации о клиенте.