Уязвимость в Microsoft Exchange Server

Экспертом СайберОК была обнаружена уязвимость типа User Enumeration в модуле Autodiscover программного обеспечения Microsoft Exchange Server, которая позволяет неаутентифицированному субъекту установить наличие пользователя в системе.Microsoft Exchange Server – программный продукт для обмена сообщениями и совместной работы.Модуль Autodiscover в Microsoft Exchange Server – это служба, предназначенная для упрощения настройки клиентских приложений.

Уязвимость может использоваться злоумышленником при подготовке целенаправленных атак, таких как перебор паролей и фишинг.Производитель отказался регистрировать уязвимость.Уязвимости подвержены последние поддерживаемые версии ПО:• Microsoft Exchange Server 2019 CU 14. • Microsoft Exchange Server 2016 CU 23.

В качестве компенсирующих мер необходимо: обеспечить доступ к служебным директориям сервера только для доверенных пользователей.СКИПА отслеживает более 10.000 Microsoft Exchange в Рунете.