Удаленное выполнение кода в Microsoft Exchange Server

Există o vulnerabilitate de executare a codului de la distanță în software-ul Microsoft Exchange atunci când software-ul nu reușește să gestioneze în mod corespunzător obiectele din memorie, „Vulnerabilitatea corupției memoriei Microsoft Exchange”.

Defecțiunea specifică este o vulnerabilitate a cheii statice din Microsoft Exchange Control Panel (ECP), o componentă a Microsoft Exchange Server. Utilizarea cheilor statice ar putea permite unui atacator autentificat, cu orice nivel de privilegiu, să trimită o cerere special concepută către un ECP vulnerabil și să obțină o execuție de cod arbitrar la nivelul sistemului.

Potrivit cercetătorilor de la Zero Day Initiative, sistemele Microsoft Exchange Server „au aceeași validationKey şi decryptionKey” în configurația WebKeySection a configurației web (web.config). După cum notează ZDI, aceste chei sunt utilizate pentru securizarea datelor din partea serverului, stocate în formă serializată în ViewState, care este inclusă ca parte a solicitărilor clientului în parametrul „__VIEWSTATE”.

Sisteme potențiale afectate:
•    Exchange Server 2007
•    Exchange Server 2010 SP3 Update Rollup 30
•    Exchange Server 2013 Cumulative Update 23
•    Exchange Server 2016 Cumulative Update 14, Cumulative Update 15
•    Exchange Server 2019 Cumulative Update 3, Cumulative Update 4

Orange Moldova CERT recomandă aplicarea patch-ului lunar a Microsoft din februarie.