ZDI เปิดเผยช่องโหว่ Zero-day จำนวน 4 รายการใน Microsoft Exchange

ZDI เปิดเผยช่องโหว่ Zero-day จำนวน 4 รายการใน Microsoft Exchange
ThaiCERT ข่าวสารภัยคุกคามทางไซเบอร์

478/66 (IT) ประจำวันจันทร์ที่ 6 พฤศจิกายน 2566

Zero Day Initiative (ZDI) ของ Trend Micro เปิดเผยช่องโหว่จำนวน 4 รายการใน Microsoft Exchange ที่สามารถถูกโจมตีจากระยะไกลจากผู้โจมตีที่ได้รับการตรวจสอบสิทธิ์เพื่อ execute arbitrary code หรือเปิดเผยข้อมูลที่ละเอียดอ่อนเกี่ยวกับการติดตั้งที่มีช่องโหว่ โดย Zero Day Initiative (ZDI) ของ Trend Micro ได้รายงานช่องโหว่นี้ต่อ Microsoft เมื่อวันที่ 7 และ 8 กันยายน 2023 แต่บริษัทไม่ได้แก้ไขช่องโหว่ โดยทาง ZDI เลือกที่จะเปิดเผยช่องโหว่ต่อสาธารณะตามนโยบายการเปิดเผยข้อมูล ซึ่งช่องโหว่ทั้งหมดถูกค้นพบโดย Piotr Bazydlo ( @chudyPB ) จาก Trend Micro Zero Day Initiative

รายการช่องโหว่ที่ถูกเปิดเผยโดย ZDI :

– ZDI-23-1578 – Microsoft Exchange ChainedSerializationBinder Deserialization เป็นช่องโหว่ execute arbitrary code ช่องโหว่นี้ทำให้ผู้โจมตีจากระยะไกลสามารถ execute arbitrary code ในการติดตั้ง Microsoft Exchange ปัญหาดังกล่าวเกิดจากการขาดการตรวจสอบความถูกต้องของข้อมูลที่ผู้ใช้ส่งมา ซึ่งอาจส่งผลให้เกิดการ deserialization ข้อมูลที่ไม่น่าเชื่อถือ ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อ execute code ในระบบ

– ZDI-23-1579 – Microsoft Exchange DownloadDataFromUri Server-Side Request Forgery Information Disclosure Vulnerability เป็นช่องโหว่นี้ทำให้ผู้โจมตีระยะไกลสามารถเปิดเผยข้อมูลละเอียดอ่อนเกี่ยวกับการติดตั้ง Microsoft Exchange ปัญหานี้เกิดจากการขาดการตรวจสอบ URI ที่เหมาะสมก่อนที่จะเข้าถึงทรัพยากร ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเปิดเผยข้อมูลในเซิร์ฟเวอร์ Exchange

– ZDI-23-1580 – Microsoft Exchange DownloadDataFromOfficeMarketPlace Server-Side Request Forgery Information Disclosure Vulnerability เป็นช่องโหว่นี้ทำให้ผู้โจมตีระยะไกลสามารถเปิดเผยข้อมูลที่ละเอียดอ่อน sensitive เกี่ยวกับการติดตั้ง Microsoft Exchange ปัญหานี้เกิดจากการขาดการตรวจสอบ URI ที่เหมาะสมก่อนที่จะเข้าถึงทรัพยากร ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเปิดเผยข้อมูลในเซิร์ฟเวอร์ Exchange – ZDI-23-1581 – Microsoft Exchange CreateAttachmentFromUri Server-Side Request Forgery Information Disclosure Vulnerability เป็นช่องโหว่นี้ทำให้ผู้โจมตีจากระยะไกลสามารถเปิดเผยข้อมูลละเอียดอ่อนเกี่ยวกับการติดตั้ง Exchange ปัญหานี้เกิดจากการขาดการตรวจสอบ URI ที่เหมาะสมก่อนที่จะเข้าถึงทรัพยากร ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเปิดเผยข้อมูลในเซิร์ฟเวอร์ Exchange

แหล่งข่าว https://securityaffairs.com/153599/hacking/microsoft-exchange-zero-day-flaws.html