A Zero Day Initiative (ZDI) nemrégiben nyilvánosságra hozott négy kritikus súlyosságú sebezhetőséget, amelyet a Microsoft Exchange rendszerekben találtak. A szeptember 7-én jelentett hibákat a Microsoft 20 nappal később azonnali beavatkozást nem igénylőnek minősítette, így a ZDI két hónappal később, most, nyilvánosságra hozta ezek tényét.

Hogyan érdemes Linuxra váltani? Ebben a cikkben megtudhatjátok én milyen tapasztalatokat szedtem össze az elmúlt tíz évben.

Az elmúlt öt évben a Microsoft Defender biztonsági védelme negatív hatással volt a Firefox böngésző használóira a webes böngészés során. A Defender Antimalware Service Executable komponense (MsMpEng.exe) furcsán viselkedett, magas CPU-használatot mutatva, amikor a Firefox egyidejűleg futott. A felhasználók arra panaszkodtak, hogy a Defender túlzottan leterheli a CPU-t, miközben a Mozilla böngésző lassú és nem reagál.

Az alábbi hibákra derült fény a szokásos keddi hibajavító napon, amelyk közül több súlyos, és azonnal javítandó, és a kárenyhítést is érdemes elvégezni. Az első a Microsoft Outlook jogosultságemelkedési hibát javított, amely lehetővé teszi, hogy speciálisan megalkotott e-mailek kényszerítsék a célpont eszközét arra, hogy csatlakozzon egy távoli URL-címhez, és átadja a Windows-fiók Net-NTLMv2 hash-ját. A hiba már akkor aktiválódik, mielőtt a levél megjelenne a előnézeti ablakban. A másik sebezhetőség aktív támadás alatt áll, bár ez sokkal kevésbé izgalmas. A sebezhetőség lehetővé teszi, hogy a támadók olyan fájlokat hozzanak létre, amelyek kikerülik a Mark of the Web (MOTW) védelmi mechanizmusait. A HTTP protokoll verem távoli kód végrehajtási sebezhetősége is elég súlyos, CVSS 9,8-as besorolású, és lehetővé teszi a távoli, hitelesítetlen támadók számára, hogy felhasználói interakció nélkül rendszer szintű kódot hajtsanak végre. Ez a kombináció lehetővé teszi a kódfertőzési láncolat gyors terjedését. Az Internet Control Message Protocol (ICMP) távoli kódvégrehajtási sebezhetősége, amely a jelenleg támogatott összes Windows rendszert érinti. Ugyanúgy összes Windows rendszert érinti egy távoli eljáráshívás (RPC) távoli kód végrehajtási sebezhetősége is. Illetve a támadók SYSTEM jogosultságot szerezhetnek egy megfelelően előkészített XPS fájlt kinyomtatva is.

Októberben írtuk hírt arról, hogy Két új Microsoft Exchange zero-day sebezhetőségre derült fény (ProxyNotShell). Miután az első javítása a problémának nem sikerült, November 8-án megjelent frissítés hozott megnyugtató javítást ezzel a hibával és újabb két hibával (CVE-2022-41123, CVE-2022-41080, összefoglaló néven: OWASSRF) kapcsolatban is, mert az első verzió megkerülhető megoldást hozott csak. Ez utóbbi kettő szintén jogosultságemelést tesz lehetővé, amit a Microsoft is mindkét esetben (1, 2) elismert és javított 2022. november 8-án. Összesen 180 ezernél több Microsoft Exchange szerver üzemel publikusan a világban (ebből 100 ezer Európában, 50 ezer Észak-Amerikában), és a mai napig ezekből 62 000 sebezhető (ebből Európából 32 ezer, 18 ezer Észak-Amerikában) - a Shadowserver adatai alapján. Ezek az adatok a CVE-2020-0688, CVE-2021-26855, CVE-2021-27065, CVE-2022-41082 sérülékenység alapján készült, amelyeket mindenképpen sürgősen be kell foltozni, a további nagyobb problémák, például zsarolóvírusos támadások elkerülése végett. Ezeket a sebezhetőségeket többek között a Play zsarolóvírus terjesztésére is felhasználják napjainkban. Emlékeztetőül a a  CVE-2022-41082 hibáról ami távoli kódfuttatást (RCE) teszi lehetővé és a CVE-2022-41040 hibáról, ami egy SSRF (Server-Side Request Forgery) sebezhetőség: