資安廠商趨勢科技 (Trend Micro) 日前發表研究表告，指出該公司發現 4 個存於 Microsoft Exchange 的 0-day 漏洞，可能造成駭侵者藉以遠端執行任意程式碼，或竊取設備上的機敏資訊。

該公司在發現這批漏洞的 2023 年 9 月初，就立即向 Microsoft 通報這批 0-day 漏洞，這 4 個 0-day 漏洞目前暫無 CVE 編號，但有 Trend Micro 自有的編號 ZDI，分列如下：

• ZDI-23-1578：該漏洞為存於 ChainedSerializationBinder 類別的 RCE 漏洞；該漏洞原因是未能適當驗證使用者資料，駭侵者可以利用該漏洞來對未受信任的資料進行序列化還原（deserialization），並以 Windows 最高執行權限等級 SYSTEM 來執行任意程式碼；
• ZDI-23-1579：存於 DownloadDataFromUri 方法的漏洞，在資源存取前未能有效驗證 URI，可導致駭侵者竊取 Exchange Server 內的機敏資訊；
• ZDI-23-1580：存於 DownloadDataFromOfficeMarketPlace 方法，同樣屬於 URI 驗證不足的漏洞，可導致未經授權的資訊洩露；
• ZDI-23-1581：存於 CreateAttachmentFromUri 方法中，也屬於 URI 驗證不足漏洞，亦可造成機敏資訊遭竊。

所有漏洞都需要通過使用者身分驗證才能進行，致使其 CVSS 分數較低，約在 7.1 到 7.5 之間（滿分為 10 分）。