Microsoft Exchange è stato colpito da quattro vulnerabilità zero-day che gli aggressori possono sfruttare da remoto per eseguire codice arbitrario o divulgare informazioni sensibili sulle installazioni interessate. Le vulnerabilità sono state divulgate ieri dall’iniziativa zero day di trend micro (zdi), che le ha segnalate a microsoft il 7 e l’8 settembre 2023.
Vulnerabilità e decisioni di sicurezza
Nonostante microsoft abbia preso atto delle segnalazioni, i suoi ingegneri della sicurezza hanno deciso che i difetti non erano abbastanza gravi da garantire un intervento immediato, posticipando le correzioni a un momento successivo. Zdi non è stata d’accordo con questa risposta e ha deciso di pubblicare i difetti sotto i propri id di tracciamento per avvisare gli amministratori di exchange dei rischi per la sicurezza.
Dettagli delle vulnerabilità
Ecco un riassunto dei difetti:
- Zdi-23-1578 – una vulnerabilità di esecuzione di codice remoto (rce) nella classe ‘chainedserializationbinder’, dove i dati dell’utente non sono adeguatamente validati, permettendo agli aggressori di deserializzare dati non affidabili. L’exploit riuscito consente a un aggressore di eseguire codice arbitrario come ‘system’, il livello più alto di privilegi su windows.
- Zdi-23-1579 – situata nel metodo ‘downloaddatafromuri’, questa vulnerabilità è dovuta alla validazione insufficiente di un uri prima dell’accesso alla risorsa. Gli aggressori possono sfruttarla per accedere a informazioni sensibili dai server exchange.
- Zdi-23-1580 – questa vulnerabilità, nel metodo ‘downloaddatafromofficemarketplace’, deriva anche da una validazione impropria dell’uri, potenzialmente portando alla divulgazione non autorizzata di informazioni.
- Zdi-23-1581 – presente nel metodo createattachmentfromuri, questo difetto assomiglia ai bug precedenti con una validazione inadeguata dell’uri, rischiando ancora l’esposizione di dati sensibili.
Fattori di mitigazione e strategie di sicurezza
Tutte queste vulnerabilità richiedono autenticazione per essere sfruttate, il che riduce la loro valutazione della gravità cvss a tra 7.1 e 7.5. Inoltre, il requisito dell’autenticazione è un fattore di mitigazione e possibilmente il motivo per cui Microsoft non ha dato priorità alla correzione dei bug.
Raccomandazioni e precauzioni
Zdi suggerisce che l’unica strategia di mitigazione evidente è limitare l’interazione con le app di exchange. Tuttavia, ciò può essere inaccettabilmente disruptivo per molte aziende e organizzazioni che utilizzano il prodotto. Si consiglia anche di implementare l’autenticazione a più fattori per impedire ai cybercriminali di accedere alle istanze di exchange anche quando le credenziali dell’account sono state compromesse.