Jak zabezpieczyć serwer Microsoft Exchange przed nowymi lukami typu zero-day?

Ostatnia aktualizacja dnia 1 września 2025

Microsoft Exchange Server to powszechnie używana platforma poczty e-mail i kalendarza dla firm i organizacji. Platforma ta jest również częstą ofiarą cyberataków, których celem jest kradzież lub uszkodzenie poufnych danych. Niedawno niezależni badacze z Zero Day Initiative wykryli cztery nowe luki typu zero-day.

Mimo że nowo odkryte luki zero-day nie posiadają jeszcze przypisanego identyfikatora CVE i wymagają wcześniejszego dostępu do danych logowania e-mail, to nadal mogą umożliwić atakującemu wykonanie dowolnego kodu lub dostęp do informacji na serwerze Exchange. Dlatego tak ważne jest, aby uwierzytelnianie serwera Exchange było niezawodne. W związku z tym zalecamy stosowanie konektora Multi-Factor Authentication (MFA) for Outlook Web App (OWA) and Exchange Control Panel (ECP).

W tym artykule wyjaśnimy, czym są nowo odkryte luki typu zero-day w serwerze Exchange, w jaki sposób hakerzy mogą je wykorzystać i co można zrobić, aby zabezpieczyć przed nimi swój serwer Exchange.

Co to za nowe luki typu zero-day w serwerze Microsoft Exchange?

Nowe luki zero-day w serwerze Microsoft Exchange to cztery błędy bezpieczeństwa, które mają wpływ na serwer Exchange. Zostały one oznaczone jako ZDI-23-1578, ZDI-23-1579, ZDI-23-1580 i ZDI-23-1581. Te luki typu zero-day mogą zostać wykorzystane przez uwierzytelnionego atakującego do zdalnego wykonania kodu (RCE) lub ujawnienia informacji na serwerze Exchange. Do wykorzystania tych luk wymagane jest uwierzytelnienie.

Zdalne wykonanie kodu (RCE) oznacza, że atakujący może uruchomić dowolne polecenie lub program na serwerze, natomiast ujawnienie informacji oznacza, że atakujący może uzyskać dostęp do poufnych danych lub plików na serwerze. Luki te mogą zostać wykorzystane do kradzieży wiadomości e-mail, kontaktów, kalendarzy, haseł lub innych poufnych informacji, a także do zainstalowania na serwerze złośliwego oprogramowania, oprogramowania ransomware lub backdoorów.

Oto szczegóły dotyczące omawianych luk:

• ZDI-23-1578 – Dziura w klasie ChainedSerializationBinder, która sprawia, że dane użytkownika nie są odpowiednio walidowane, co pozwala na zdalne wykonanie kodu (RCE) poprzez umożliwienie atakującym deserializacji złośliwych danych. Jeśli błąd zostanie wykorzystany, atakujący może uruchomić dowolny kod jako „SYSTEM”, najwyższy poziom uprawnień w systemie Windows.
• ZDI-23-1579 – Luka w metodzie DownloadDataFromUri, która nie weryfikuje poprawnie adresu URI przed uzyskaniem dostępu do zasobu. Dziura może pozwolić atakującym na uzyskanie poufnych informacji z serwerów Exchange.
• ZDI-23-1580 – Dziura w metodzie DownloadDataFromOfficeMarketPlace, która wynika z błędnej walidacji adresu URI. Może prowadzić do nieautoryzowanego ujawnienia informacji.
• ZDI-23-1581 – Dziura w metodzie CreateAttachmentFromUri, w której słaba walidacja adresu URI może ujawnić poufne dane i prowadzić do fałszowania żądań po stronie serwera (SSRF) podczas wstawiania załącznika.

Jak hakerzy mogą wykorzystać te luki w zabezpieczeniach?

Aby wykorzystać te luki, atakujący musi mieć prawidłowe poświadczenia dostępu do serwera Exchange. Oznacza to, że atakujący musi mieć login i hasło użytkownika lub administratora Exchange. Cyberprzestępcy mają wiele sposobów na złamanie poświadczeń użytkownika. Na przykład hakerzy mogą naruszyć dane uwierzytelniające poprzez phishing i ataki siłowe.

Gdy atakujący uzyska poświadczenia, może wysłać specjalnie spreparowane żądania do serwera Exchange, wykorzystując luki w zabezpieczeniach do wykonania kodu lub ujawnienia informacji. Atakujący może również łączyć luki w zabezpieczeniach, wykorzystując jedną z nich do uzyskania dostępu do innej i zwiększenia wpływu ataku.

Przykładowo, atakujący może użyć ZDI-23-1578 do wykonania kodu jako SYSTEM na serwerze Exchange, a następnie użyć ZDI-23-1579, ZDI-23-1580 lub ZDI-23-1581, aby uzyskać dostęp do informacji z serwera Exchange lub innych serwerów Exchange w sieci. Alternatywnie atakujący może użyć ZDI-23-1579, ZDI-23-1580 lub ZDI-23-1581, aby uzyskać dostęp do informacji z serwera Exchange, a następnie użyć ZDI-23-1578 do wykonania kodu na serwerze Exchange.

Jak zabezpieczyć serwer Exchange przed tymi lukami?

Pierwszą rzeczą, którą należy zrobić, aby zabezpieczyć swój serwer Exchange przed lukami zero-day, jest jak najszybsza aktualizacja oprogramowania Exchange Server. Microsoft opublikował sierpniową aktualizację naprawiającą ZDI-23-1578. Przyszłe aktualizacje potencjalnie naprawią inne luki. Aktualizacje można pobrać z Microsoft Security Response Center lub usługi Microsoft Update. Należy również sprawdzić dzienniki serwera Exchange i aktywność pod kątem wszelkich oznak naruszenia bezpieczeństwa lub podejrzanego zachowania.

Strategia bezpieczeństwa powinna jednak koncentrować się nie tylko na znanych lukach, ale przede wszystkim na długoterminowej ochronie serwera Exchange przed wszelkimi przyszłymi zagrożeniami cybernetycznymi. Najlepszym sposobem na zabezpieczenie serwera Exchange przed obecnymi i przyszłymi lukami w zabezpieczeniach Microsoft Exchange jest użycie uwierzytelniania wieloskładnikowego (MFA) dla użytkowników i administratorów serwera Exchange. Uwierzytelnianie MFA to funkcja bezpieczeństwa, która wymaga więcej niż jednego dowodu w celu zweryfikowania tożsamości użytkownika. Dowodem może być między innymi klucz bezpieczeństwa FIDO, hasło, aplikacja mobilna lub odcisk palca użytkownika.

Uwierzytelnianie MFA utrudnia atakującym dostęp do serwera Exchange, nawet jeśli mają hasło. Dzieje się tak, ponieważ cyberprzestępcy potrzebują dodatkowo drugiego czynnika uwierzytelniania, aby uzyskać dostęp.

Chroń swój serwer Microsoft Exchange dzięki uwierzytelnianiu Rublon MFA

Jednym z najlepszych rozwiązań uwierzytelniania MFA dla serwera Exchange jest Rublon MFA.

Rublon to usługa oparta na chmurze, która umożliwia zaawansowane uwierzytelnianie wieloskładnikowe (MFA) dla Outlook Web App (OWA) i Exchange Control Panel (ECP) oraz zapewnia prosty i bezpieczny sposób uwierzytelniania użytkowników.

Dzięki Rublon możesz:

• Zapewnić hermetyczne bezpieczeństwo za pomocą uwierzytelniania MFA dla logowań do usług OWA i ECP.
• Korzystać z wielu zaawansowanych metod uwierzytelniania, takich jak Klucz bezpieczeństwa FIDO, Powiadomienie mobilne, Kod dostępu, Kod QR i innych.
• Egzekwować polityk bezpieczeństwa dla różnych grup użytkowników i aplikacji. Polityki mogą określać, które metody powinny być dostępne, czy użytkownicy mogą zezwolić na zapamiętywanie swoich urządzeń i nie tylko.

Korzystając z uwierzytelniania wieloskładnikowego Rublon MFA, możesz znacznie zmniejszyć ryzyko nieautoryzowanego dostępu i wykorzystania luk zero-day w usłudze Microsoft Exchange, a także zabezpieczyć się przed wszelkimi innymi potencjalnymi przyszłymi zagrożeniami bezpieczeństwa. Rozwiązanie Rublon MFA może również poprawić komfort użytkowania i produktywność Twoich użytkowników, a także pomóc Ci zapewnić zgodność z przepisami dotyczącymi cyberbezpieczeństwa.

Nie czekaj ani minuty dłużej. Zabezpiecz swoje serwery Exchange za pomocą uwierzytelniania Rublon MFA, klikając poniższy przycisk.

Podsumowanie

Nowe luki zero-day w serwerze Microsoft Exchange to dziury w zabezpieczeniach, które mogą pozwolić atakującemu na wykonanie kodu lub uzyskanie dostępu do informacji na serwerze Exchange, ale wymagają wcześniejszego dostępu do poświadczeń e-mail. Aby zabezpieczyć serwer Exchange przed lukami zero-day, należy jak najszybciej zaktualizować oprogramowanie serwera Exchange. Aby włączyć długoterminową ochronę serwera Exchange, zdecydowanie zalecamy korzystanie z uwierzytelniania wieloskładnikowego (MFA) zarówno dla logowania do aplikacji Outlook Web App (OWA), jak i Panelu sterowania Exchange (ECP). Jednym z najlepszych rozwiązań z zakresu uwierzytelniania wieloskładnikowego jest Rublon MFA, który może zapobiec nieautoryzowanemu dostępowi do usług OWA i ECP, a tym samym zapobiec wykorzystaniu obecnych i przyszłych luk w zabezpieczeniach. Korzystając z rozwiązania Rublon, możesz zapewnić bezpieczeństwo i integralność swojego serwera Exchange i danych.