De bekende beveiligingsonderzoeker Orange Tsai heeft tijdens de Pwn2Own-wedstrijd in Berlijn een nieuwe aanval tegen Microsoft Exchange Server gedemonstreerd waardoor remote code execution (RCE) mogelijk is en aanvallers volledige controle over de mailserver krijgen. Beveiligingsupdates voor de drie gebruikte kwetsbaarheden zijn nog niet beschikbaar. De onderzoeker ontving voor zijn demonstratie een beloning van 200.000 dollar.

Pwn2Own is een jaarlijks terugkerende hackwedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in populaire producten, software en diensten. Er zijn verschillende edities van het evenement. Tijdens de editie in Berlijn zijn onder andere browsers en zakelijke software het doelwit. De hoogste beloning is te verdienen met een aanval op Microsoft Exchange Server of een aanval op Microsoft Windows RDP.

Tijdens zijn demonstratie vanmiddag wist Tsai drie kwetsbaarheden te combineren waardoor hij op de Microsoft Exchange Server als ongeauthenticeerde aanvaller code met SYSTEM-rechten kon uitvoeren. Details over de beveiligingslekken zijn nog niet openbaar gemaakt. Die worden eerst met Microsoft gedeeld, zodat het techbedrijf beveiligingsupdates kan ontwikkelen. Wanneer de patches verschijnen is nog niet bekend.

Tsai ontving voor zijn demonstratie een beloning van 200.000 dollar. De onderzoeker wist een aantal jaren geleden ook al verschillende Exchange-kwetsbaarheden te vinden die de naam ProxyLogon, ProxyOracle en ProxyShell kregen. De ProxyShell-lekken demonstreerde Tsai tijdens de Pwn2Own-wedstrijd van 2021. De kwetsbaarheden werden uiteindelijk op grote schaal misbruikt bij aanvallen.