新的Microsoft Exchange零日漏洞可实现远程代码执行和数据窃取攻击

最近，微软的Microsoft Exchange受到了四个零日漏洞的影响，攻击者可以利用这些漏洞远程执行任意代码或者泄露受影响的系统中的敏感信息。

这些零日漏洞是由Trend Micro的Zero Day Initiative（ZDI）在昨天披露的，他们在2023年9月7日和8日向微软报告了这些漏洞。

尽管微软承认了这些报告，但是其安全工程师认为这些漏洞并不严重到足以立即修复，所以将修复工作推迟到以后。

ZDI对此回应表示不满，并决定在自己的追踪ID下发布这些漏洞，以警告Exchange管理员有关安全风险的问题。

以下是这些漏洞的摘要：

ZDI-23-1578（RCE）：远程代码执行漏洞，可能导致系统完全被控制。

ZDI-23-1579：信息泄露漏洞，可能导致敏感信息被泄露。

ZDI-23-1580：信息泄露漏洞，可能导致敏感信息被泄露。

ZDI-23-1581：信息泄露漏洞，可能导致敏感信息被泄露。

这些漏洞都需要进行身份验证才能利用，这降低了它们的严重性CVSS评分，评分在7.1到7.5之间。此外，需要进行身份验证也是一种缓解因素，可能是微软没有优先修复这些漏洞的原因之一。

值得注意的是，黑客有多种方法可以获取Exchange凭据，包括暴力破解弱密码、进行网络钓鱼攻击、购买凭据或从信息窃取者的日志中获取。

然而，上述的这些零日漏洞不应被视为无关紧要，特别是RCE漏洞（ZDI-23-1578），它可能导致系统完全被控制。

ZDI建议唯一有效的缓解策略是限制与Exchange应用的交互。然而，对于许多使用该产品的企业和组织来说，这可能会带来不可接受的干扰。

我们还建议实施多因素身份验证，以防止黑客在帐户凭据被盗用的情况下访问Exchange实例。

更新11/4 - 微软发言人回应BleepingComputer的评论请求，给出了以下声明：

我们感谢这位发现者按照协调的漏洞披露程序提交了这些问题，并且我们致力于采取必要的步骤来帮助保护客户。

我们已经审查了这些报告，并发现它们要么已经得到解决，要么不符合我们的严重性分类准则的立即修复标准，我们将在将来的产品版本和更新中评估解决这些问题。

此外，微软还提供了以下关于每个发现漏洞的补充说明：

数百万台Exim邮件服务器暴露于零日RCE攻击之中

3,000个Apache ActiveMQ服务器在互联网上容易受到RCE攻击

HelloKitty勒索软件正在利用Apache ActiveMQ漏洞进行攻击

F5修复了BIG-IP身份验证绕过漏洞，该漏洞允许进行远程代码执行攻击

在SolarWinds访问审计解决方案中发现了关键的RCE漏洞

这些漏洞的存在使得Exchange服务器面临严重的安全威胁，建议管理员们尽快采取相应的安全措施来保护系统的安全性。

总结：新的Microsoft Exchange零日漏洞可实现远程代码执行和数据窃取攻击，这些漏洞的存在给Exchange管理员带来了严重的安全威胁。尽管微软尚未立即修复这些漏洞，但我们建议管理员们采取相应的缓解措施，例如限制与Exchange应用的交互和实施多因素身份验证，以保护系统的安全性。同时，我们也期待微软能够尽快解决这些漏洞，确保用户的安全。