Vulnerabilidades K2

Contacto

Viernes, 30 Septiembre 2022 15:44

Vulnerabilidades zero-day en Microsoft Exchange

El servicio de Cyberthreats de Entelgy Innotec Security avisa de la publicación de dos vulnerabilidades zero-day que afectan a Microsoft Exchange.

Nivel de peligrosidad: CRÍTICO.

Investigadores de seguridad del equipo vietnamita GTSC han detectado dos vulnerabilidades zero-day, catalogadas como CVE-2022-41040 y CVE-2022-41082, que afectan a Microsoft Exchange Server 2013, 2016 y 2019. Dichas vulnerabilidades estarían siendo utilizadas por actores de amenazas para implementar web shells chinos de Chopper en servidores comprometidos con el objetivo de lograr persistencia y robar datos, así como para moverse lateralmente a otros sistemas en las redes de las víctimas.

Los expertos revelaron que las solicitudes utilizadas en esta cadena de explotación son similares a las utilizadas en los ataques dirigidos a las vulnerabilidades de ProxyShell, por lo que se las conoce como ProxyNotShell.

Debido al tipo de web shells utilizados se sospecha que los atacantes son de origen chino. Además, el agente de usuario utilizado para instalar los web shells pertenece a Antsword, una herramienta de administración de sitios web de código abierto con base china.

CVE

Impacto

CVE-2022-41040

Vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF).

CVE-2022-41082

Vulnerabilidad que permite la ejecución remota de código (RCE) cuando el atacante accede al PowerShell.

La base de datos del NIST aún ha registrado las vulnerabilidades descritas anteriormente, por lo que todavía no cuentan con una valoración según asignando la escala CVSSv3. Sin embargo, el fabricante ha identificado las vulnerabilidades con los CVE-2022-41040 y CVE-2022-41082, y les ha otorgado una severidad crítica al tratarse de dos zero-days.

Desde la compañía se ha informado que se tienen pruebas fehacientes de que ha sido explotada, sin dar más detalles, para preservar la seguridad de los sistemas de los usuarios, hasta que éstos actualicen sus equipos a una versión fija parcheada.

Recursos afectados:

  • Microsoft Exchange Server: Versiones 2013, 2016 y 2019

Solución a las vulnerabilidades:

Microsoft ha publicado un aviso donde garantiza que los clientes de Microsoft Exchange Online no necesitan realizar ninguna acción. Mientras que los usuarios locales de Microsoft

Exchange deben revisar y aplicar las siguientes instrucciones de reescritura de URL y bloquear los puertos remotos de PowerShell expuestos, HTTP: 5985 y HTTPS: 5986

La mitigación actual consiste en agregar una regla de bloqueo en "Administrador de IIS -> Sitio web predeterminado -> Detección automática -> Reescritura de URL -> Acciones" para bloquear los patrones de ataque conocidos.

Microsoft ha confirmado que las siguientes instrucciones de reescritura de URL, que actualmente se están discutiendo públicamente, logran romper las cadenas de ataque actuales.

  1. Abra el Administrador de IIS.
  2. Expanda el sitio web predeterminado.
  3. Seleccione Detección automática.
  4. En la Vista de características, haga clic en Reescritura de URL.

Recomendaciones:

Por el momento, Microsoft no ha lanzado un parche oficial, por lo que desde el servicio de Cyberthreats de Entelgy Innotec Security se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen las medidas alternativas expuestas por Microsoft, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Referencias:

S5 Box