ASNETWORK

4 zéro days Microsoft Exchange - Novembre 2023

Microsoft Exchange a récemment été confronté à un ensemble de quatre nouvelles vulnérabilités de type zero-day, offrant aux pirates la possibilité d’exécuter du code à distance sur les serveurs ou d’extraire des données sensibles des systèmes de messagerie impactés. Il est important d’examiner de près cette menace.

Après avoir informé Microsoft de ces vulnérabilités les 7 et 8 septembre 2023, la Zero Day Initiative (ZDI) de Trend Micro a pris la décision de les rendre publiques, même en l’absence d’un correctif de sécurité. Pourquoi cette démarche ?

La raison en est que Microsoft, après avoir évalué les vulnérabilités grâce à ses équipes de sécurité, a jugé qu’elles ne présentaient pas un niveau de gravité suffisamment élevé pour justifier une correction immédiate. Cette décision de Microsoft n’a pas été bien reçue par la ZDI, qui a donc décidé de diffuser des informations sur ces failles zero-day.

Ci-dessous les informations connues à ce jour:

  • ZDI-23-1578 – Une faille de sécurité de type « exécution de code à distance » liée à une faiblesse présente dans la classe « ChainedSerializationBinder » à cause d’un problème de validation des données de l’utilisateur. En parvenant à exploiter ces vulnérabilités, un attaquant à distance peut exécuter du code arbitraire en bénéficiant des droits « SYSTEM » sur la machine Windows. Pour rappel, il s’agit du niveau de privilèges le plus élevé sur Windows.
  • ZDI-23-1579 – Une faille de sécurité située dans la méthode « DownloadDataFromUri‘ » liée à une validation insuffisante de la syntaxe d’un URI avant l’accès à une ressource. En exploitant cette vulnérabilité, les attaquants peuvent accéder à des informations sensibles stockées sur le serveur Exchange (nous ne savons pas lesquelles)
  • ZDI-23-1580 – Une faille de sécurité présente dans la méthode « DownloadDataFromOfficeMarketPlace » pouvant mener également à la divulgation d’informations sur le serveur Exchange.
  • ZDI-23-1581 – Une faille de sécurité présente dans la méthode « CreateAttachmentFromUri« , liée elle aussi à une validation insuffisante de la syntaxe d’un URI pouvant mener à la divulgation d’informations sensibles.

Le patch de novembre 2023 nous diras si les correctifs sont disponible.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *