Security Week 46: новая уязвимость в Exchange Server

На прошлой неделе, 9 ноября, компания Microsoft выпустила очередной набор патчей для собственных продуктов. Он закрывает 55 уязвимостей, из них 6 критических. Особое внимание уделено новой уязвимости в почтовом сервере Microsoft Exchange. Уязвимость CVE-2021-42321 (описание на сайте производителя, статья в BleepingComputer) оценивается в 8,8 балла по шкале CVSSv3 и позволяет выполнять произвольный код на сервере. Уязвимость работает после авторизации на сервере и уже используется в таргетированных атаках.



Уязвимости подвержены серверы Microsoft Exchange версий 2013, 2016 и 2019, работающие на стороне заказчика. Облачный вариант сервиса Exchange Online вне опасности. Проблема была обнаружена в процессе валидации команд в Exchange Powershell, средстве автоматизации работы с сервером. Еще одна серьезная уязвимость закрыта на прошлой неделе в Microsoft Excel. CVE-2021-42292 позволяет обходить встроенные средства защиты и выполнять произвольный код при открытии документа.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• DNSSEC validation на Go: написал свой validator и не до конца сошёл с ума
• (Не)безопасный eBPF: что маркетологи забыли упомянуть об уязвимостях
• Острова и несколько личностей на одном устройстве: как мы делаем приватность частью архитектуры
• Reset — прохождение сложной машины от Tryhackme
• bitkogan: Срок Набиуллиной заканчивается. Что дальше?
• Блог ленивого инвестора: ☀ Итоги недели: входим в лето!
• Редакция Spark.ru: 60 лет “культурной революции”
• Spark_news: Самые большие штрафы ГИБДД платят зумеры
• OpenBSD 7.9: поддержка Wi-Fi 6, USB4 и 255 ядер. Основные изменения в ОС
• Zero Trust для AI-агентов: как безопасно давать LLM доступ к инструментам, данным и действиям