Security Week 46: новая уязвимость в Exchange Server

На прошлой неделе, 9 ноября, компания Microsoft выпустила очередной набор патчей для собственных продуктов. Он закрывает 55 уязвимостей, из них 6 критических. Особое внимание уделено новой уязвимости в почтовом сервере Microsoft Exchange. Уязвимость CVE-2021-42321 (описание на сайте производителя, статья в BleepingComputer) оценивается в 8,8 балла по шкале CVSSv3 и позволяет выполнять произвольный код на сервере. Уязвимость работает после авторизации на сервере и уже используется в таргетированных атаках.



Уязвимости подвержены серверы Microsoft Exchange версий 2013, 2016 и 2019, работающие на стороне заказчика. Облачный вариант сервиса Exchange Online вне опасности. Проблема была обнаружена в процессе валидации команд в Exchange Powershell, средстве автоматизации работы с сервером. Еще одна серьезная уязвимость закрыта на прошлой неделе в Microsoft Excel. CVE-2021-42292 позволяет обходить встроенные средства защиты и выполнять произвольный код при открытии документа.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• [Перевод] Захват аккаунта без единого клика с помощью параметра сброса пароля
• Мультивселенная киберполигонов в РФ: часть 3. Интервью со специалистами платформы Standoff 365
• 300 млн за квартал, 1,4 млрд за 2026 год: сколько бюджет РФ потеряет из-за запрета на рекламу в Instagram*
• Топологическая безопасность ECDSA: Динамические методы анализа и теоретические основы
• Kaspersky NGFW: тестирование фаервола в разрезе ИБ
• Туннель в никуда: как ngrok помогает обойти периметр и как это остановить
• Строим корпоративную GenAI-платформу: от концепции до ROI. Часть 4. Безопасность и ограничения (guardrails)
• SkyCapital: Вьетнам запускает пилотный проект блокчейн-платежей для туристов в Дананге
• ГОСТ 57580 без головной боли: инструкция по автоматической оценке и отчетности
• Исследование i-Media: как бренды выбирают агентства