En una reciente publicación de Microsoft, se detalló el descubrimiento de dos nuevas vulnerabilidades de día cero informadas recientemente en Microsoft Exchange Server 2013, 2016 y 2019, que están siendo explotadas de manera “salvaje”.

ANTECEDENTES:
Anteriormente en este mes, distintas vulnerabilidades de Microsoft Exchange han sido aprovechadas por actores de amenazas, y específicamente en la región, por el grupo hacktivista “Guacamaya”, quienes se han especializado en robar y filtrar información de los organismos oficiales de Defensa de los países de Latinoamérica.

DETALLES:
En un aviso oficial de seguridad realizada por Microsoft, se reveló oficialmente el descubrimiento de dos
vulnerabilidades de día cero identificadas como CVE-2022-41040 y CVE-2022-41082, que afectan a Exchange Server 2013, 2016 y 2019.
La primera vulnerabilidad es una falsificación de solicitudes del lado del servidor (SSRF), mientras que  la segunda permite la ejecución remota de código (RCE) cuando el atacante puede acceder a PowerShell.
“En este momento, Microsoft tiene conocimiento de ataques dirigidos limitados que usan las dos
vulnerabilidades para ingresar a los sistemas de los usuarios.”, indicaron los investigadores de Microsoft en su aviso. Asimismo, destacaron que se requiere acceso autenticado al servidor Exchange vulnerable para lograr una explotación exitosa.
Microsoft indicó también que las dos fallas están unidas en una cadena de explotación. “En estos ataques, CVE-2022-41040 puede permitir que un atacante autenticado active de forma remota CVE-2022-41082”, es decir, el error SSRF permite que un adversario autenticado active de forma remota la ejecución de código arbitrario.
La empresa vietnamita de ciberseguridad GTSC recomendó que si los administradores deseen verificar si sus servidores de Exchange ya han sido comprometidos, pueden ejecutar el siguiente comando de PowerShell para escanear los archivos de registro de IIS en busca de indicadores de compromiso:

Get-ChildItem -Recurse -Path -Filter «*.log» | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200’

Finalmente, Microsoft confirmó que se encuentra trabajando de manera acelerada para lanzar una solución; sin embargo, recomendó a los usuarios de Microsoft Exchange, agregar una regla de bloqueo en IIS Manager como una solución temporal para mitigar posibles amenazas.

Accede a la Alerta Integrada de Seguridad Digital Aqui

RECOMENDACIONES:
 Realizar los pasos de la mitigación recomendada por Microsoft.
 Bloquear PowerShell Remoting para reducir el riesgo de RCE.
 Aplicar los parches de seguridad tan pronto como estén disponibles.
 Contar con un SIEM para poder monitorear los servicios de su infraestructura en tiempo real.
 Realizar un análisis de malware y un análisis de seguridad para determinar si los servidores de
Exchange ya se han visto comprometidos.

Fuente: https://cdn.www.gob.pe/uploads/document/file/3714193/Alerta%20integrada%20de%20seguridad%20digital%20N%C2%B0%20267-2022-CNSD.pdf.pdf?v=1664622750