Компания Microsoft исправила в Microsoft Exchange Server 2019, 2016 и 2013 две уязвимости, позволяющие удаленно выполнить код и раскрыть информацию.

Согласно уведомлению безопасности, уязвимость удаленного выполнения кода (CVE-2019-0586) существует из-за неправильной обработки Exchange Server объектов в памяти. Ее успешная эксплуатация даст возможность атакующему запускать код в контексте пользователя системы и в результате устанавливать ПО, просматривать, модифицировать и удалять данные, а также создавать новые учетные записи.

Для эксплуатации уязвимости атакующий должен отправить на уязвимый сервер особым образом сконфигурированное электронное письмо. Проблема была исправлена производителем путем изменения процесса обработки объектов в памяти.

Уязвимость раскрытия информации (CVE-2019-0588) связана с тем, что PowerShell API сервера предоставляет календарю больше разрешений, чем требуется. Для ее эксплуатации атакующий должен получить от администратора доступ к календарю через PowerShell. В таком случае ему будет видна информация о календаре, которая в обычных условиях должна быть скрыта.

Обновления безопасности, исправляющие обе уязвимости, отмечены производителем как «важные». Их можно установить автоматически через «Центр обновления Windows» или загрузить вручную с сайта Microsoft.

Источник: securitylab.ru