Microsoft untersucht zwei gemeldete Zero-Day-Schwachstellen, die Microsoft Exchange Server 2013, 2016 und 2019 on Premises betreffen.
Die erste Schwachstelle, identifiziert als CVE-2022-41040, ist eine Sicherheitslücke durch Server-Side Request Forgery (SSRF), während die zweite, identifiziert als CVE-2022-41082, Remote Code Execution (RCE) ermöglicht, wenn PowerShell für den Angreifer zugänglich ist.
Sicherheitsupdates sind bislang nicht verfügbar, aber es gibt aber einen Workaround über den IIS Manager:
Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server
Ist zwar händisch, aber mit etwas Erfahrung machbar ... ;-)