Una vulnerabilidad clasificada como extremadamente crítica ha sido encontrada en Microsoft Exchange Server 2013 CU23/2016 CU18/2016 CU19/2019 CU7/2019 CU8 (Groupware Software). Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.

La vulnerabilidad fue publicada el 2021-03-02 con un security guidance (Website) (confirmado). El advisory puede ser descargado de portal.msrc.microsoft.com. La vulnerabilidad es identificada como CVE-2021-27078. Se considera fácil de explotar. El ataque puede ser iniciado desde la red. La explotación requiere de una verificación múltiple de la autentificación. No se conoce los detalles técnicos ni hay ningún exploit disponible.
Fue declarado como proof-of-concept.

Aplicando un parche es posible eliminar el problema. Una solución posible ha sido publicada inmediatamente después de la publicación de la vulnerabilidad.

Producto
Escribe
⦁ Groupware Software
Proveedor
⦁ Microsoft
Name
⦁ Exchange Server

CPE 2.3
⦁ cpe:2.3:a:microsoft:exchange_server:2013_cu23:*:*:*:*:*:*:*
⦁ cpe:2.3:a:microsoft:exchange_server:2016_cu18:*:*:*:*:*:*:*
⦁ cpe:2.3:a:microsoft:exchange_server:2016_cu19:*:*:*:*:*:*:*
⦁ cpe:x.x:x:xxxxxxxxx:xxxxxxxx_xxxxxx:xxxx_xxx:*:*:*:*:*:*:*
⦁ cpe:x.x:x:xxxxxxxxx:xxxxxxxx_xxxxxx:xxxx_xxx:*:*:*:*:*:*:*

CPE 2.2
⦁ cpe:/a:microsoft:exchange_server:2013_cu23
⦁ cpe:/a:microsoft:exchange_server:2016_cu18
⦁ cpe:/a:microsoft:exchange_server:2016_cu19
⦁ cpe:/x:xxxxxxxxx:xxxxxxxx_xxxxxx:xxxx_xxx
⦁ cpe:/x:xxxxxxxxx:xxxxxxxx_xxxxxx:xxxx_xxx

Disponibilidad: No
Status: Proof-of-Concept

Contramedidas
Recomendación: Parche