資安廠商趨勢科技 (Trend Micro) 日前發表研究表告,指出該公司發現 4 個存於 Microsoft Exchange 的 0-day 漏洞,可能造成駭侵者藉以遠端執行任意程式碼,或竊取設備上的機敏資訊。
該公司在發現這批漏洞的 2023 年 9 月初,就立即向 Microsoft 通報這批 0-day 漏洞,這 4 個 0-day 漏洞目前暫無 CVE 編號,但有 Trend Micro 自有的編號 ZDI,分列如下:
- ZDI-23-1578:該漏洞為存於 ChainedSerializationBinder 類別的 RCE 漏洞;該漏洞原因是未能適當驗證使用者資料,駭侵者可以利用該漏洞來對未受信任的資料進行序列化還原(deserialization),並以 Windows 最高執行權限等級 SYSTEM 來執行任意程式碼;
- ZDI-23-1579:存於 DownloadDataFromUri 方法的漏洞,在資源存取前未能有效驗證 URI,可導致駭侵者竊取 Exchange Server 內的機敏資訊;
- ZDI-23-1580:存於 DownloadDataFromOfficeMarketPlace 方法,同樣屬於 URI 驗證不足的漏洞,可導致未經授權的資訊洩露;
- ZDI-23-1581:存於 CreateAttachmentFromUri 方法中,也屬於 URI 驗證不足漏洞,亦可造成機敏資訊遭竊。
所有漏洞都需要通過使用者身分驗證才能進行,致使其 CVSS 分數較低,約在 7.1 到 7.5 之間(滿分為 10 分)。
為避免駭侵者取得系統存取權並利用此批 0-day 漏洞,建議系統管理者應加強帳密安全性,並使用多重登入驗證機制。
- 參考連結
(0Day) Microsoft Exchange ChainedSerializationBinder Deserialization of Untrusted Data Remote Code Execution Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-23-1578/
(0Day) Microsoft Exchange DownloadDataFromUri Server-Side Request Forgery Information Disclosure Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-23-1579/
(0Day) Microsoft Exchange DownloadDataFromOfficeMarketPlace Server-Side Request Forgery Information Disclosure Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-23-1580/
(0Day) Microsoft Exchange CreateAttachmentFromUri Server-Side Request Forgery Information Disclosure Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-23-1581/
New Microsoft Exchange zero-days allow RCE, data theft attacks
留言列表
資安宣導 (2)
