ZERO DAY dans EXCHANGE

Microsoft Exchange Server touché par 2 vulnérabilités Zero Day  (références CVE-2022-41040 et CVE-2022-41082) sans avoir pour l’instant livré des correctifs définitifs. Microsoft propose plusieurs atténuations pour minimiser les risques mais elles peuvent être contournées.

La première faille est une requête côté serveur (Server-Side Request Rorgery, SSRF) qui permet à un attaquant « authentifié » de déclencher la seconde vulnérabilit qui rend possible l’exécution de code à distance via PowerShell. Les failles affectent Microsoft Exchange Server 2013, Exchange Server 2016 et Exchange Server 2019.

Tous les détails sur le site de Microsoft :