Microsoften Segurtasun Erantzunen Zentroko taldeak argitalpen bat egin du zero-day motako bi urrakortasunen inguruan, hasiera batean GTSC izenez ezagutzen den Vietnamgo segurtasun-taldeak jakinarazi dituenak.

Microsoftek nabarmendutako lehen zaurgarritasuna CVE-2022-41040 izenpean identifikatuta dago, zerbitzariaren aldean eskaera faltsutzeko eraso bat ahalbidetzen duena (SSRF). Hala ere, CVE-2022-41082 delakoaren azpian egindako bigarren akatsak urruneko kode arbitrarioa (RCE) exekutatzeko aukera ematen dio erasotzaileari.

Bi urrakortasunen ustiapenari buruz dagoen ezagutza nabarmendu du konpainiak, eta Microsoft Exchange zerbitzari kaltebera autentifikatuta izateko beharra aipatu du. Zaurgarritasun horiek baliatzen dituzten eraso gidatuetan, lehenik eta behin, CVE-2022-41040 akatsa exekutatzen da, erasotzaileek urrutitik aprobetxa baitezakete CVE-2022-410832 arauan deskribatutako akatsa.

Oraingoz ez da aurkitu ahultasun horiek aprobetxatzen dituen azalpenik edo kontzeptu-frogarik.

Gaineratu behar da oraingoz ez dela aplikatu deskribatutako akatsak konponduko dituen irtenbide ofizialik, baina Microsoftek eta GTSCk arintze alternatiboak argitaratu dituzte. BCSCtik horiek ahalik eta azkarren aplikatzea gomendatzen da, kalteberatasun horien eraginpean dauden eta kritikotzat jotzen diren sistema kalteberen konpromisoa saihesten saiatzeko.