Microsoft Exchange ist von vier Zero-Day-Schwachstellen betroffen, die Angreifer aus der Ferne ausnutzen können, um beliebigen Code auszuführen oder vertrauliche Informationen über betroffene Installationen preiszugeben.
Die Zero-Day-Schwachstellen wurden gestern von der Zero Day Initiative (ZDI) von Trend Micro offengelegt und am 7. und 8. September 2023 an Microsoft gemeldet.
Obwohl Microsoft die Berichte zur Kenntnis nahm, kamen die Sicherheitsingenieure zu dem Schluss, dass die Mängel nicht schwerwiegend genug waren, um eine sofortige Behebung zu gewährleisten, und verschoben die Behebung auf einen späteren Zeitpunkt.
ZDI war mit dieser Antwort nicht einverstanden und beschloss, die Schwachstellen unter seinen eigenen Tracking-IDs zu veröffentlichen, um Exchange-Administratoren vor den Sicherheitsrisiken zu warnen.
Eine Zusammenfassung der Mängel finden Sie unten:
- ZDI-23-1578 – Ein RCE-Fehler (Remote Code Execution) in der Klasse „ChainedSerializationBinder“, bei dem Benutzerdaten nicht ausreichend validiert werden, sodass Angreifer nicht vertrauenswürdige Daten deserialisieren können. Eine erfolgreiche Ausnutzung ermöglicht es einem Angreifer, beliebigen Code als „SYSTEM“ auszuführen, die höchste Berechtigungsstufe unter Windows.
- ZDI-23-1579 – Dieser Fehler liegt in der Methode „DownloadDataFromUri“ und ist auf eine unzureichende Validierung eines URI vor dem Ressourcenzugriff zurückzuführen. Angreifer können es ausnutzen, um auf vertrauliche Informationen von Exchange-Servern zuzugreifen.
- ZDI-23-1580 – Diese Schwachstelle in der Methode „DownloadDataFromOfficeMarketPlace“ ist ebenfalls auf eine unsachgemäße URI-Validierung zurückzuführen, die möglicherweise zu einer unbefugten Offenlegung von Informationen führt.
- ZDI-23-1581 – Dieser in der CreateAttachmentFromUri-Methode vorhandene Fehler ähnelt den vorherigen Fehlern mit unzureichender URI-Validierung, was wiederum das Risiko der Offenlegung sensibler Daten birgt.
Alle diese Schwachstellen erfordern zur Ausnutzung eine Authentifizierung, wodurch ihre Schweregrad-CVSS-Bewertung auf 7,1 bis 7,5 sinkt. Darüber hinaus ist die Anforderung einer Authentifizierung ein mildernder Faktor und möglicherweise der Grund, warum Microsoft der Behebung der Fehler keine Priorität eingeräumt hat.
Es sollte jedoch beachtet werden, dass Cyberkriminelle viele Möglichkeiten haben, an Exchange-Anmeldeinformationen zu gelangen, einschließlich der Brute-Force-Angriffe auf schwache Passwörter, der Durchführung von Phishing-Angriffen, des Kaufs oder der Beschaffung aus Protokollen von Informationsstehlen.
Allerdings sollten die oben genannten Zero-Days nicht als unwichtig betrachtet werden, insbesondere ZDI-23-1578 (RCE), da dies zu einer vollständigen Systemkompromittierung führen kann.
ZDI schlägt vor, dass die einzige wirksame Abhilfestrategie darin besteht, die Interaktion mit Exchange-Apps einzuschränken. Dies kann jedoch für viele Unternehmen und Organisationen, die das Produkt verwenden, unannehmbar störend sein.
Wir empfehlen außerdem die Implementierung einer Multi-Faktor-Authentifizierung, um zu verhindern, dass Cyberkriminelle auf Exchange-Instanzen zugreifen, selbst wenn die Kontoanmeldeinformationen kompromittiert wurden.
BleepingComputer hat Microsoft um einen Kommentar zur Offenlegung von ZDI gebeten und wartet immer noch auf eine Antwort.