In Microsoft Exchange wurden vier neue Zero-Day-Sicherheitslücken identifiziert, die mit Serverseitigen Anfragenfälschungen und der Ausführung von Remote Code in Verbindung stehen. Die Schwachstellen wurden noch nicht mit CVE-Nummern versehen und weisen Schweregrade zwischen 7,1 (Hoch) und 7,5 (Hoch) auf.

Microsoft Exchange ist ein Mail- und Kalender-Server, der ausschließlich auf Windows Server-Betriebssystemen läuft. Microsoft hat noch keine Patches zur Behebung dieser Sicherheitslücken veröffentlicht.

ZDI-23-1581: Schwachstelle durch Serverseitige Anfragenfälschung Diese Sicherheitslücke im CreateAttachmentFromUri-Verfahren validiert URIs nicht ordnungsgemäß, bevor auf Ressourcen zugegriffen wird, was es Angreifern ermöglicht, sensible Informationen von betroffenen Microsoft Exchange-Servern abzurufen. Für eine erfolgreiche Ausnutzung ist eine Authentifizierung des Angreifers erforderlich. Die Schwachstelle wurde mit 7,1 (Hoch) bewertet.

ZDI-23-1580: Schwachstelle durch Serverseitige Anfragenfälschung Ähnlich wie bei ZDI-23-1581 fehlt auch hier eine korrekte URI-Validierung, was das Abgreifen sensibler Daten ermöglicht. Auch hier ist eine Authentifizierung des Angreifers nötig. Die Schwere wird ebenfalls mit 7,1 (Hoch) angegeben.

ZDI-23-1579: Schwachstelle durch Serverseitige Anfragenfälschung Diese Lücke besteht in der DownloadDataFromUri-Methode, die ebenfalls eine unzureichende URI-Validierung aufweist. Die Auswirkungen sind identisch zu den zuvor genannten Schwachstellen. Die Schwere wird mit 7,1 (Hoch) bewertet.

ZDI-23-1578: Deserialisierung von nicht vertrauenswürdigen Daten führt zu Remote Code Execution Diese Schwachstelle in der ChainedSerializationBinder-Klasse überprüft Benutzereingaben nicht angemessen, was zur Deserialisierung von nicht vertrauenswürdigen Daten und zur Ausführung von Code im Systemkontext führen kann. Auch hier ist eine Authentifizierung des Angreifers erforderlich. Die Schwere wird mit 7,5 (Hoch) bewertet.

Stellungnahme von Microsoft Microsoft gab an, dass diese Schwachstellen aufgrund der erforderlichen Authentifizierung für eine Ausnutzung nicht sofort gepatcht werden müssten. Es ist jedoch zu beachten, dass Angreifer auf verschiedene Weisen wie Social Engineering oder Phishing an Zugangsdaten gelangen können.

„Wir haben diese Berichte geprüft und festgestellt, dass sie entweder bereits behoben wurden oder nicht die Kriterien für eine sofortige Bearbeitung nach unseren Richtlinien zur Klassifizierung der Schwere erfüllen. Wir werden eine Behebung in zukünftigen Produktversionen und Updates entsprechend in Betracht ziehen“, teilte Microsoft mit.

Die Schwachstellen wurden von Piotr Bazydlo (@chudypb) im Rahmen der Trend Micro Zero Day Initiative entdeckt. Obwohl diese Schwachstellen von den Forschern der Zero-Day-Initiative, die mit Trend Micro zusammenarbeitet, entdeckt wurden, hat Microsoft noch keine Patches zur Behebung veröffentlicht.