趋势科技的 Zero Day Initiative(ZDI) 在 2023 年 9 月 7 日和 8 日向微软报告了 Microsoft Exchange 的 4 个 0day,攻击者可以利用漏洞远程执行任意代码或泄露敏感信息。对于这些漏洞的严重性微软提出质疑,该公司发言人表示其中一个漏洞已经在 8 月的安全更新中修复,另外三个漏洞需要攻击者先获得凭证,而且没有证据表明能被利用提权。微软表示这些漏洞没有达到需要立即修复的标准,他们会视情况而定在未来版本中评估修复。ZDI 对此不予认同,决定自己公开漏洞,以警告 Exchange 管理员注意安全风险。它承认漏洞确实需要获得凭证才能利用,但指出犯罪分子有很多方法窃取 Exchange 凭证,包括但不限于暴力破解弱密码、钓鱼攻击、收购等等。目前最主要的缓解漏洞利用的方法是避免凭证泄露。
https://www.zerodayinitiative.com/advisories/ZDI-23-1581/
https://www.bleepingcomputer.com/news/microsoft/new-microsoft-exchange-zero-days-allow-rce-data-theft-attacks/