Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades 0day en Microsoft Exchange Server

In Noticias y Avisos CiberseguridadPosted

Fecha de publicación: 30/09/2022

Importancia:
Crítica

Recursos afectados:

Microsoft Exchange Server, versiones 2013, 2016 y 2019.

Para ayudar a las organizaciones a comprobar si sus servidores Exchange han sido explotados por este fallo, GTSC ha publicado una guía y una herramienta para escanear los archivos de registro de IIS:

  • Ejecutar el comando de PowerShell:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover.json.*@.*200

  • Utilizar la herramienta NCSE0Scanner desarrollada por GTSC.

Descripción:

GTSC Cyber Security ha informado de una nueva campaña de ataque que explota 2 vulnerabilidades 0-day afectando a Microsoft Exchange Server, que fueron notificadas a Microsoft a través del programa ZDI de Trend Micro: ZDI-CAN-18333 (CVSS 8.8) y ZDI-CAN-18802 (CVSS 6.3). La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código remoto.

Solución:

Microsoft está desarrollando una solución. Hasta entonces, ha proporcionado las siguientes medidas de mitigación y detección para ayudar a sus clientes a protegerse de estos ataques:

  • Si no se ejecuta Microsoft Exchange on premise y no se tiene Outlook Web App con acceso a Internet, no se verá afectado.
  • Los clientes de Microsoft Exchange Online no necesitan tomar ninguna medida. Los clientes con instalaciones de Microsoft Exchange deben revisar y aplicar las siguientes instrucciones de reescritura de URL y bloquear los puertos expuestos de Remote PowerShell, añadiendo la siguiente regla de bloqueo:
IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions
  • El bloqueo de los puertos utilizados para Remote PowerShell puede limitar estos ataques.
    • HTTP: 5985;
    • HTTPS: 5986.
  • Microsoft ha confirmado que una serie de instrucciones de reescritura de URL consiguen romper las cadenas de ataque actuales. Estas instrucciones aparecen listadas, paso a paso, en la sección Mitigations del post publicado por Microsoft.

Detalle:

  • Esta vulnerabilidad, de tipo Server-Side Request Forgery (SSRF), solo puede ser explotada por atacante autenticados. Se ha asignado el identificador CVE-2022-41040 para esta vulnerabilidad.
  • Los atacantes podrían acceder a PowerShell Remoting en servidores Exchange expuestos y vulnerables para la ejecución remota de código (RCE) a través esta vulnerabilidad. Se ha asignado el identificador CVE-2022-41082 para esta vulnerabilidad.

En este momento, Microsoft es consciente de limitados ataques dirigidos que explotan estas 2 vulnerabilidades para entrar en los sistemas de los usuarios. En estos ataques CVE-2022-41040 un atacante autenticado podría activar remotamente CVE-2022-41082. Hay que tener en cuenta que es necesario el acceso autenticado al Exchange Server vulnerable para explotar con éxito cualquiera de las 2 vulnerabilidades.

La investigación de GTSC Cyber Security incluye una serie de indicadores de compromiso (IOCs) en su publicación.

Encuesta valoración

Etiquetas:
0day, Comunicaciones, Microsoft, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.