Две уязвимости Microsoft Exchange Server 2019, 2016 и 2013, позволяющие злоумышленникам выполнить удаленно код и раскрыть информацию, исправлены компанией Microsoft.
Согласно уведомлению безопасности Microsoft, уязвимость удаленного выполнения кода (CVE-2019-0586) дает возможность атакующему запускать код и в результате устанавливать ПО, просматривать, модифицировать и удалять данные, создавать новые учетные записи. Данная проблема существовала из-за неправильной обработки Exchange Server объектов в памяти и была исправлена производителем путем изменения данного процесса обработки.
Уязвимость раскрытия информации (CVE-2019-0588) связана с тем, что PowerShell API сервера предоставляет календарю гораздо больше разрешений, чем требуется. Для ее эксплуатации атакующий должен получить от администратора доступ к календарю через PowerShell. В таком случае ему будет видна информация о календаре, которая в обычных условиях должна быть скрыта.
Обновления безопасности, исправляющие обе уязвимости, отмечены Microsoft как «важные». Их можно установить автоматически через «Центр обновления Windows» или загрузить вручную с сайта Microsoft.
Источник: https://www.securitylab.ru/news/497401.php