新的 Microsoft Exchange 零日漏洞允许 RCE 和数据盗窃攻击

Microsoft Exchange 受到四个零日漏洞的影响，攻击者可以远程利用这些漏洞执行任意代码或泄露受影响安装的敏感信息。

昨天，趋势科技的零日计划 (ZDI) 披露了这些零日漏洞，并于 2023 年 9 月 7 日至 8 日向微软报告了这些漏洞。

尽管微软承认了这些报告，但其安全工程师认为这些缺陷还不够严重，无法保证立即提供服务，因此推迟了修复。

ZDI 不同意这一回应，并决定在自己的跟踪 ID 下发布这些缺陷，以警告 Exchange 管理员有关安全风险的信息。

缺陷摘要如下：

• ZDI-23-1578 – “ChainedSerializationBinder”类中存在远程代码执行 (RCE) 缺陷，其中用户数据未得到充分验证，从而允许攻击者反序列化不受信任的数据。成功利用该漏洞使攻击者能够以“SYSTEM”（Windows 上的最高权限级别）执行任意代码。
• ZDI-23-1579 – 该缺陷位于“DownloadDataFromUri”方法中，是由于在资源访问之前对 URI 的验证不足造成的。攻击者可以利用它从 Exchange 服务器访问敏感信息。
• ZDI-23-1580 – “DownloadDataFromOfficeMarketPlace”方法中的此漏洞也源于不正确的 URI 验证，可能导致未经授权的信息泄露。
• ZDI-23-1581 – 此缺陷存在于 CreateAttachmentFromUri 方法中，与之前的 URI 验证不充分的错误类似，同样存在敏感数据暴露的风险。

所有这些漏洞都需要身份验证才能利用，这会将其严重性 CVSS 评级降低到 7.1 到 7.5 之间。此外，要求身份验证是一个缓解因素，这可能也是微软没有优先修复错误的原因。

但值得注意的是，网络犯罪分子可以通过多种方式获取 Exchange 凭据，包括暴力破解弱密码、执行网络钓鱼攻击、购买凭据或从信息窃取者日志中获取凭据。

也就是说，上述零日漏洞不应被视为不重要，尤其是 ZDI-23-1578 (RCE)，它可能会导致系统完全受损。

ZDI 建议唯一显着的缓解策略是限制与 Exchange 应用程序的交互。然而，这对于使用该产品的许多企业和组织来说可能会造成难以接受的破坏。

我们还建议实施多重身份验证，以防止网络犯罪分子访问 Exchange 实例，即使帐户凭据已被泄露。

---

11/4 更新– 微软发言人回应了 BleepingComputer 的置评请求，声明如下：

我们感谢该发现者在协调漏洞披露下提交这些问题的工作，我们致力于采取必要的措施来帮助保护客户。

我们审查了这些报告，发现它们要么已经得到解决，要么不符合我们的严重性分类指南下的立即服务标准，我们将评估在未来的产品版本和更新中酌情解决这些问题。——微软发言人 

此外，微软还针对每个发现的缺陷提供了以下附加背景信息：  

• 关于 ZDI-23-1578：已应用 8 月安全更新的客户已受到保护。
• 关于 ZDI-23-1581：所描述的技术要求攻击者事先访问电子邮件凭据，并且没有证据表明可以利用它来获得特权提升。
• 关于 ZDI-23-1579：所描述的技术要求攻击者能够事先访问电子邮件凭据。
• 关于 ZDI-23-1580：所描述的技术要求攻击者事先访问电子邮件凭据，并且没有证据表明可以利用它来访问敏感的客户信息。