Ir para conteúdo

Alerta de Vulnerabilidades - Microsoft Exchange Server

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Microsoft Exchange Server 2013 Microsoft Exchange Server 2016 Microsoft Exchange Server 2019
ECOSSISTEMA
Microsoft, Outro, Windows
Descrição

A Microsoft publicou um conjunto de atualizações de segurança referentes a quatro vulnerabilidades (CVE-2021-28480, CVE-2021-28481, CVE-2021-28482 e CVE-2021-28483) que afetam o Microsoft Exchange Server versões 2013, 2016 e 2019 "on-premises". [1]
É importante referir que estas vulnerabilidades são diferentes das vulnerabilidades publicadas em março de 2021 e, por essa razão, as atualizações efetuadas na altura não resolvem as vulnerabilidades descritas neste alerta.
Os clientes do Exchange Online não precisam de tomar qualquer medida.[2]


Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permite ao atacante o acesso e a persistência no sistema alvo. Adicionalmente também permite ao atacante a execução de código remotamente ou a instalação de código malicioso.[1]


Resolução

É recomendado aos utilizadores atualizar os sistemas "on-premises" para as seguintes versões:[1]
- Exchange Server 2013 (Cumulative Update 23)
- Exchange Server 2016 (Cumulative Update 20, Cumulative Update 19)
- Exchange Server 2019 (Cumulative Update 9, Cumulative Update 8)


Referências

[1] https://support.microsoft.com/pt-pt/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-april-13-2021-kb5001779-8e08f3b3-fc7b-466c-bbb7-5d5aa16ef064
[2] https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617

Última atualização em 07-09-2022