Команда Exchange просит администраторов установить новое исправление для критической уязвимости Microsoft Exchange Server, которая впервые была устранена в августе.
Уязвимость, обозначенная как CVE-2023-21709 и исправленная в августе этого года во рамках одного из прошлых “вторников исправлений”, позволяет неаутентифицированным злоумышленникам усиливать свои привилегии на незащищённых серверах Exchange.
“При сетевой атаке злоумышленник может взломать пароли учётной записи пользователя для входа в систему под этим именем. Microsoft поощряет использование надёжных паролей, которые злоумышленнику сложнее взломать”, – пояснили в компании.
Несмотря на выпущенные обновления безопасности, Microsoft также уведомила администраторов Exchange о необходимости уязвимый модуль Windows IIS Token Cache вручную или с помощью специального скрипта PowerShell, чтобы защитить свои серверы от атак.
В последнем Patch Tuesday от 10-го октября, Microsoft выпустила новое обновление безопасности ( CVE-2023-36434 ), которое полностью устраняет уязвимость CVE-2023-21709 без необходимости совершать дополнительные действия.
“Сегодня команда Windows выпустила исправление для IIS, которое устраняет корневую причину этой уязвимости”, – сказала команда Exchange.
Администраторам, которые ранее уже удалили модуль Windows IIS Token Cache, теперь придётся установить последние обновления безопасности, после чего снова включить модуль IIS с помощью этой команды в PowerShell (с повышенными правами):
New-WebGlobalModule -Name “TokenCacheModule” -Image “%windir%System32inetsrvcachtokn.dll”
Те администраторы, которые ещё не установили обновление безопасности от августа, должны обязательно установить обновления безопасности Windows Server за октябрь.
“Мы вносим обновления во все связанные с августом 2023 года страницы документации и скрипты, а также средство проверки работоспособности, чтобы отразить нашу новую рекомендацию”, – добавила Microsoft.
Последние обновления безопасности в рамках Patch Tuesday или так называемого “вторника исправлений” за октябрь этого года устранили 104 уязвимости , из которых 12 оценены как критические, а ещё 3 из них помечены как zero-day уязвимости, активно используемые в реальных атаках.
Примечательно, что Microsoft отказалась до сегодняшнего дня исправлять один из этих критических недостатков, уязвимость Skype для бизнеса с повышением привилегий, отслеживаемую как CVE-2023-41763и впервые раскрытую больше года назад, хотя злоумышленники всё это время могли использовать её для получения доступа к системам во внутренних сетях.