0day w Exchange – z poziomu zwykłego użytkownika można wykonać kod w OS (uprawnienia SYSTEM). Microsoft – to nie critical, więc przygotowanie łatki potrwa

Projekt ZDI opublikował pewne szczegóły dotyczące podatności w Microsoft Exchange. Do wykorzystania podatności potrzebny jest dostęp do konta użytkownika, a mając takowy można wykonać kod na serwerze z uprawnieniami SYSTEM.

Wg ZDI, podatność została zgłoszona do Microsoftu we wrześniu tego roku, ale na razie nie została załatana. Takich niezałatanych podatności w MS Exchange jest co ciekawe więcej (patrz np. luka klasy SSRF, również wymagająca uwierzytelnienia).

~ms