Microsoft confirma un par de Zero-Days de Blindsiding Exchange, sin parche todavía



Microsoft está acelerando los parches para dos vulnerabilidades de día cero de Exchange Server reportadas durante la noche, pero mientras tanto, las empresas deben estar atentas a los ataques. El gigante informático dijo en una actualización del viernes que ya está viendo «ataques dirigidos limitados» que encadenan los errores para el acceso inicial y la toma de management del sistema de correo electrónico.

Las fallas afectan específicamente a las versiones locales de Microsoft Trade Server 2013, 2016 y 2019 que se enfrentan a Online, según Microsoft. Sin embargo, vale la pena señalar que el investigador de seguridad Kevin Beaumont dice que Los clientes de Microsoft Exchange On line que ejecutan servidores híbridos de Trade con Outlook Web Access (OWA) también están en riesgo, a pesar del aviso oficial que indica que las instancias en línea no se ven afectadas. El equipo de Fast7 se hizo eco de esa evaluación.

Los errores se rastrean de la siguiente manera:

  • CVE-2022-41040 (CVSS 8.8), una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) que da acceso a cualquier buzón de Exchange
  • CVE-2022-41082 (CVSS 6.3), que permite la ejecución de código remoto autenticado (RCE) cuando el atacante puede acceder a PowerShell.

Es importante destacar que el acceso autenticado al Trade Server es necesario para la explotación, señaló la alerta de Microsoft. Beaumont agregó: «Tenga en cuenta que la explotación necesita credenciales válidas que no sean de administrador para cualquier usuario de correo electrónico».

Parches y mitigaciones para CVE-2022-41040, CVE-2022-41082

Hasta el momento, no hay un parche disponible, pero Microsoft ha clasificado los errores y está acelerando una solución.

«Estamos trabajando en un cronograma acelerado para lanzar una solución», según Aviso del viernes de Microsoft. «Hasta entonces, proporcionaremos la guía de mitigaciones y detecciones».

Las mitigaciones incluyen agregar una regla de bloqueo en «Administrador de IIS -> Sitio net predeterminado -> Detección automática -> Reescritura de URL -> Acciones» para bloquear los patrones de ataque conocidos y la compañía incluyó instrucciones de reescritura de URL en el aviso, que dijo que «confirmó que tiene éxito en romper las cadenas de ataque actuales».

Además, la alerta señaló que «dado que los atacantes autenticados que pueden acceder a PowerShell Remoting en sistemas Exchange vulnerables podrán activar RCE usando CVE-2022-41082, bloquear los puertos utilizados para Remote PowerShell puede limitar los ataques».

Divulgación de errores ciegos

Las fallas se revelaron en una publicación de website de la empresa de seguridad vietnamita GTSC, que señaló que envió informes de errores a la Iniciativa Zero Working day de Development Micro el mes pasado. Si bien normalmente esto habría resultado en un proceso de divulgación de vulnerabilidades responsable en el que Microsoft habría 120 días para parchear antes de que se hicieran públicos los hallazgos, GTSC decidió publicar después de ver ataques en estado salvaje, dijo.

«Después de pruebas cuidadosas, confirmamos que esos sistemas estaban siendo atacados usando esta vulnerabilidad de día cero», señalaron los investigadores de GTSC en su publicación de blog del jueves. «Para ayudar a la comunidad a detener temporalmente el ataque antes de que esté disponible un parche oficial de Microsoft, publicamos este artículo dirigido a aquellas organizaciones que utilizan el sistema de correo electrónico de Microsoft Trade».

También ofreció un análisis detallado de la cadena de errores, que es very similar bajo el capó al grupo ProxyShell de vulnerabilidades de Exchange Server. Esto llevó a Beaumont (@gossithedog) a llamar a la cadena «ProxyNotShell». completo con su propio logo.

Dijo en su análisis el viernes que, si bien muchos atributos de los errores son exactamente como ProxyShell, los parches de ProxyShell no solucionan el problema. También señaló que, en términos de superficie de ataque, «cerca de un cuarto de millón de servidores Exchange vulnerables se enfrentan a World wide web, más o menos».

Calificó la situación como «bastante riesgosa» en un Feed de Twitter, y señaló que la explotación parece haber estado ocurriendo durante al menos un mes, y que ahora que las fallas son públicas, las cosas podrían «irse al sur con bastante rapidez». También cuestionó la guía de mitigación de Microsoft.

«Mi consejo sería dejar de representar a OWA en World wide web hasta que haya un parche, a menos que quiera seguir la ruta de mitigación… pero eso se sabe desde hace un año y, eh, hay otras formas de explotar Trade para RCE sin PowerShell», tuiteó Beaumont. «Por ejemplo, si tiene SSRF (CVE-2022-41040), es bueno en Trade y puede acceder a cualquier buzón a través de EWS vea la actividad anterior. Por lo tanto, no estoy seguro de que la mitigación se mantenga».

Microsoft no respondió de inmediato a una solicitud de comentarios de Dim Looking at.





Enlace a la noticia original