Microsoft a maintenant révisé un précédent correctif de sécurité pour deux vulnérabilités zero-day dans Exchange Server (CVE-2022-41040 et CVE-2022-41082) après avoir découvert que le correctif est facilement contourné, rapporte Les nouvelles des pirates.
Les vulnérabilités d’origine auraient été découvertes et «corrigées» en 2021. Combinées les unes aux autres, elles peuvent être utilisées pour exécuter du code sur des serveurs vulnérables avec des privilèges élevés et instituer des shells Web.
Au moment de la rédaction de cet article, Microsoft n’a pas de nouvelles mesures de sécurité pour les vulnérabilités. Selon la société, un groupe de piratage parrainé par l’État a exploité les vulnérabilités d’un nombre limité d’attaques à partir d’août 2022.
Lire aussi : Vulnérabilité critique dans Bitbucket d’Atlassian exploitée par des pirates