警惕！微软Exchange服务器零日漏洞，仍未完全修复

近日，趋势科技的零日计划（ZDI）披露了微软Exchange中的四个零日漏洞，经过验证的攻击者可远程利用这些漏洞在易受攻击的安装程序上执行任意代码或披露敏感信息。

今年9月7日-8日，趋势科技的零日计划（ZDI）向微软报告了这些漏洞。

微软方面承认确实存在这些漏洞，但此前已于Exchange安全更新中修复了最为严重的ZDI-23-1578漏洞，另外三个漏洞也会在后续的安全更新中修复。

微软方面提示广大用户：Exchange服务器的安全更新和EDR很重要，请大家及时更新到10月份最新的安全更新版本，并部署 Microsoft Defender for Endpoint 以达到 Exchange服务器系统的最佳保护效果。

以下是ZDI披露的漏洞信息列表：

ZDI-23-1578 - Microsoft Exchange ChainedSerializationBinder Deserialization of Untrusted Data 远端执行程序代码漏洞：此漏洞允许远端攻击者在微软Exchange 安裝上执行任意代码。此漏洞存在于 ChainedSerializationBinder 中，利用此漏洞需要进行身份验证。这个漏洞是由于缺乏对用户提供数据的适当验证，才导致出现了反序列化不受信任的数据。攻击者可利用此漏洞在 系统中执行代码。

ZDI-23-1579– Microsoft Exchange DownloadDataFromUri 服务器端请求伪造信息泄露漏洞 ：此漏洞可能导致远程攻击者泄露敏感信息。DownloadDataFromUri 中存在漏洞，利用此漏洞需要身份验证。导致这个漏洞的原因是由于在访问资源之前缺少对 URI 的正确验证所致。攻击者可利用此漏洞泄露 Exchange 服务器信息。

ZDI-23-1580– Microsoft Exchange DownloadDataFromOfficeMarketPlace 服务器端请求伪造信息泄露漏洞：此漏洞可能导致远程攻击者泄露敏感信息，利用此漏洞需要身份验证。DownloadDataFromOfficeMarketPlace 中存在漏洞。造成此漏洞的原因同样是由于在访问资源之前缺少对 URI 的正确验证所致。攻击者仍可利用此漏洞泄露 Exchange 服务器信息。

ZDI-23-1581–Microsoft Exchange CreateAttachmentFromUri 服务器端请求伪造信息泄露漏洞：CreateAttachmentFromUri中存在漏洞，利用此漏洞需要身份验证。该漏洞是由于在访问资源之前缺少对 URI 的正确验证所致。攻击者可利用此漏洞泄露 Exchange 服务器信息。

来源：FreeBuf.COM

尊敬的读者： 感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力，并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示，是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值，并且希望获得更多的相关资讯和服务，我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单，与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新，以帮助您更好地了解我们的服务和文章内容。                                                        扫描二维码，参与调查

END

点击下方，关注公众号

获取免费咨询和安全服务

安全咨询/安全集成/安全运营

专业可信的信息安全应用服务商！

http://www.jsgjxx.com

原文始发于微信公众号（信息安全大事件）：警惕！微软Exchange服务器零日漏洞，仍未完全修复