Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

InformazioniVulnerabilità

Avviso di sicurezza di Microsoft per vulnerabilità in Exchange Server

elevazione dei privilegi  exchange  microsoft   mercoledì, 6 febbraio 2019

Nella giornata del 5 febbraio 2019 Microsoft ha pubblicato un avviso di sicurezza che fornisce una guida su come mitigare una vulnerabilità zero-day di tipo elevazione dei privilegi in Microsoft Exchange Server, già oggetto di una news del CERT Nazionale.

L’avviso di Microsoft contiene istruzioni su come definire ed applicare all’interno di un’organizzazione una “Throttling Policy” per EWSMaxSubscriptions con valore di zero. Questa configurazione impedisce al server Exchange di inviare notifiche Exchange Web Services (EWS), inficiando altresì il normale funzionamento delle applicazioni che fanno affidamento su queste notifiche.

Per questo motivo, Microsoft raccomanda ai gestori di server Exchange di provare questa soluzione di mitigazione in un ambiente di test, prima di applicarla a sistemi in produzione.

La vulnerabilità affligge le seguenti versioni di Exchange:

  • Microsoft Exchange Server 2010 Service Pack 3
  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Microsoft sta lavorando ad un aggiornamento software, ma non ha fornito una data ufficiale per il suo rilascio.

Per maggiori informazioni su questa problematica e sulla soluzione di mitigazione è possibile consultare il seguente avviso di sicurezza di Microsoft (in Inglese):

Notizie correlate

Aggiornamenti di sicurezza per prodotti Juniper Networks (ottobre 2019)

11 ottobre 2019

Juniper Networks ha pubblicato una serie di bollettini di sicurezza relativi a vulnerabilità multiple scoperte in svariati prodotti software, tra cui alcune di gravità elevata in Junos OS.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (ottobre 2019)

9 ottobre 2019

Nella giornata dell'8 ottobre 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Microsoft rilascia aggiornamento per falla critica 0-day in Internet Explorer

24 settembre 2019

Microsoft ha rilasciato una patch di emergenza per risolvere una vulnerabilità critica zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto