歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
趨勢科技示警微軟 Exchange的四個零日漏洞
2023 / 11 / 06
編輯部
趨勢科技披露微軟(Microsoft) Exchange 中的四個零日漏洞,經過身份驗證的攻擊者可以遠端利用這些漏洞來執行任意程式碼或洩露有關易受攻擊的敏感資訊。
研究人員表示專業APT組織偏愛利用Exchange高危險漏洞發起針對性攻擊。趨勢科技於 2023 年 9 月 7 日至 8 日向微軟報告了這些漏洞,微軟承認了這些漏洞,但至今尚未修復這些漏洞。
ZDI-23-1578 – Microsoft Exchange ChainedSerializationBinder 不受信任資料反序列化遠端程式碼執行漏洞
此漏洞允許遠端攻擊者在受影響的 Microsoft Exchange 安裝上執行任意代碼。需要進行身份驗證才能利用此漏洞。該特定缺陷存在於 ChainedSerializationBinder 類中。該問題是由於缺乏對使用者提供的資料進行適當驗證而引起,這可能會導致不受信任的資料被反序列化。攻擊者可以利用此漏洞在 SYSTEM 上下文中執行程式碼。
ZDI-23-1579 – Microsoft Exchange DownloadDataFromUri 伺服器端請求偽造資訊洩露漏洞
此漏洞允許遠端攻擊者洩露有關受影響的 Microsoft Exchange 安裝的敏感資訊。需要進行身份驗證才能利用此漏洞。DownloadDataFromUri 方法中存在特定缺陷。該問題是由於在訪問資源之前缺乏對 URI 的正確驗證而導致的。攻擊者可以利用此漏洞洩露 Exchange 伺服器上下文中的資訊。
ZDI-23-1580 – Microsoft Exchange DownloadDataFromOfficeMarketPlace 伺服器端請求偽造資訊洩露漏洞
此漏洞允許遠端攻擊者洩露有關受影響的 Microsoft Exchange 安裝的敏感資訊。需要進行身份驗證才能利用此漏洞。DownloadDataFromOfficeMarketPlace 方法中存在特定缺陷。該問題是由於在訪問資源之前缺乏對 URI 的正確驗證而導致的。攻擊者可以利用此漏洞洩露 Exchange 伺服器上下文中的資訊。
ZDI-23-1581 – Microsoft Exchange CreateAttachmentFromUri 伺服器端請求偽造資訊洩露漏洞
此漏洞允許遠端攻擊者洩露有關受影響的 Exchange 安裝的敏感資訊。需要進行身份驗證才能利用此漏洞。該特定缺陷存在於 CreateAttachmentFromUri 方法中。該問題是由於在存取資源之前缺乏對 URI 的正確驗證而導致的。攻擊者可以利用此漏洞洩露 Exchange 伺服器上下文中的資訊。
本文轉載自securityaffairs。
零日漏洞
RCE
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.09
AI應用下的資安風險
2025.07.10
防毒、EDR、MDR 到底差在哪?從真實攻擊情境看懂端點防護的導入路線圖
2025.07.18
零信任與網路安全架構
看更多活動
大家都在看
勒索軟體攻擊手法升級:Python腳本結合Microsoft Teams釣魚成新威脅
超過 200 個針對遊戲玩家和開發者的惡意 GitHub 程式庫攻擊活動曝光
Citrix緊急修補NetScaler重大漏洞 CVE-2025-6543遭攻擊者大規模利用
BitoPro疑遭北韓駭客攻擊 損失約3.2億台幣加密貨幣
Swan Vector APT鎖定台日機構 多階段攻擊手法解析
資安人科技網
文章推薦
AI代理重塑資安託管業者:從自動化工具到智慧協作夥伴
企業資安防禦全面革新 AI × SASE × IAM × MDR
AI浪潮下的工控資安趨勢