Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

0day w Exchange – z poziomu zwykłego użytkownika można wykonać kod w OS (uprawnienia SYSTEM). Microsoft – to nie critical, więc przygotowanie łatki potrwa

07 listopada 2023, 18:43 | W biegu | 1 komentarz

Projekt ZDI opublikował pewne szczegóły dotyczące podatności w Microsoft Exchange. Do wykorzystania podatności potrzebny jest dostęp do konta użytkownika, a mając takowy można wykonać kod na serwerze z uprawnieniami SYSTEM.

Wg ZDI, podatność została zgłoszona do Microsoftu we wrześniu tego roku, ale na razie nie została załatana. Takich niezałatanych podatności w MS Exchange jest co ciekawe więcej (patrz np. luka klasy SSRF, również wymagająca uwierzytelnienia).

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. czesław

    A jak to sie ma do bezpieczeństwa poczty hostowanej na Office365?

    Odpowiedz

Odpowiedz