Microsoft Exchange Server spragos (CVE-2022-41040 ir CVE-2022-41082)
Saugumo ekspertai aptiko Microsoft Exchange Server (on-premise) programinės įrangos saugumo spragų (CVE-2022-41040 ir CVE-2022-41082), kurių pagalba atakuotojai gali užvaldyti pažeidžiamą sistemą. Microsoft savo pranešime patvirtino šių spragų egzistavimą ir pateikė laikinas apsisaugojimo priemones kol bus išleistos oficialios saugumo pataisos (angl. patch). Gamintojo teigimu, spragas išnaudoti gali tik autentifikuoti naudotojai. Pasaulyje jau fiksuojami šių spragų išnaudojimo atvejai, todėl rekomenduojame kuo skubiau imtis priemonių, siekiant išvengti duomenų praradimo ir su tuo susijusių nuostolių.
Pažeidžiama programinė įranga: Microsoft Exchange Server on-premise (savarankiškai valdomi) versijos 2013, 2016 ir 2019.
Microsoft Exchange Online versija yra saugi ir jos naudotojams jokių veiksmų atlikti nereikia.
Šiuo metu gamintojas saugumo pataisų (angl. patch) dar nėra išleidęs. Kol pataisos bus išleistos, reikėtų vadovautis gamintojo saugumo rekomendacijomis. Informacija apie spragą, jos užkardymo ir galimo įsilaužimo aptikimo priemones:
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/