La société vietnamienne de cybersécurité GTSC alerte dans son article du 28 septembre, de l’existence et l’exploitation de deux vulnérabilités impactant les serveurs Microsoft Exchange 2013, 2016 et 2019. Le CERT Advens a publié le 02 Octobre un bulletin sur ces failles Zero-Day.
La première vulnérabilité référencée comme CVE-2022-41040, est de type Server-side Request Forgery (SSRF). Elle permet à un attaquant d’interagir avec le serveur, afin d’en extraire des fichiers, de trouver d’autres services actifs et de cartographier le réseau interne.
La seconde, référencée comme CVE-2022-41082, permet à un attaquant qui accède au Powershell d’Exchange d’exécuter du code à distance (RCE).
Ces vulnérabilités ne peuvent être exploitées uniquement si l’attaquant est authentifié sur le serveur.