Dos vulnerabilidades más de día cero encontradas en diferentes versiones de Microsoft Exchange Server están siendo explotadas en la naturaleza, confirmó la compañía.
De acuerdo con una guía reciente para el cliente que Microsoft publicó para los días cero informados, los actores de amenazas identificaron una falla de falsificación de solicitud del lado del servidor (SSRF) y una falla de ejecución remota de código (RCE).
Las vulnerabilidades estaban presentes en los puntos finales de Microsoft Exchange Server 2013, 2016 y 2019 (se abre en una pestaña nueva).
Defectos encadenados
«La primera vulnerabilidad, identificada como CVE-2022-41040, es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF), mientras que la segunda, identificada como CVE-2022-41082, permite la ejecución remota de código (RCE) cuando PowerShell es accesible para el atacante», explicó Microsoft. «En este momento, Microsoft está al tanto de ataques dirigidos limitados que utilizan las dos vulnerabilidades para ingresar a los sistemas de los usuarios».
Sin embargo, explotar la falla SSRF no es tan fácil, ya que el ataque solo puede ser realizado por atacantes que fueron autenticados por el sistema de destino. Solo entonces pueden explotar también la falla de RCE.
Además, los usuarios de Exchange Online no están expuestos a ningún riesgo, confirmó la empresa, ya que su equipo de seguridad ya colocó detecciones y mitigaciones.
«Microsoft también está monitoreando estas detecciones ya implementadas en busca de actividad maliciosa y tomará las medidas de respuesta necesarias para proteger a los clientes», agregó la compañía. «Estamos trabajando en una línea de tiempo acelerada para lanzar una solución».
Si bien Microsoft no dijo quién podría estar explotando estos defectos en este momento, BleepingEquipo encontró GTSC, una empresa de seguridad cibernética vietnamita, culpando a un actor de amenazas chino. Aparentemente, los días cero se estaban utilizando para implementar shells web de China Chopper para la persistencia, así como para la exfiltración de datos. La misma empresa también publicó medidas de mitigación que Microsoft confirmó posteriormente.
«Los clientes locales de Microsoft Exchange deben revisar y aplicar las siguientes instrucciones de reescritura de URL y bloquear los puertos remotos de PowerShell expuestos», dijo Microsoft. «La mitigación actual consiste en agregar una regla de bloqueo en «Administrador de IIS -> Sitio web predeterminado -> Detección automática -> Reescritura de URL -> Acciones» para bloquear los patrones de ataque conocidos».
Vía: BleepingComputer (se abre en una pestaña nueva)