Microsoft ha abordado una serie de fallas de Exchange Server en su último parche (se abre en una pestaña nueva) Actualización de seguridad acumulativa del martes; sin embargo, los administradores de TI también deberán habilitar la Protección extendida para mitigar por completo algunos de ellos.
Extended Protection es una herramienta que mejora la autenticación de Windows Server existente y mitiga los ataques de intermediarios o retransmisiones de autenticación. La función lo hace mediante el uso de información de seguridad implementada a través de información de vinculación de canales, especificada a través de un token de vinculación de canales, que se utiliza principalmente para conexiones SSL.
La actualización acumulativa de este mes aborda un total de 121 vulnerabilidades, incluidas varias fallas de Exchange, como CVE-2022-21980, CVE-2022-24477 y CVE-2022-24516, todas calificadas como críticas, ya que permiten la escalada de privilegios. Estas fallas pueden incluso ser explotadas por actores de amenazas poco calificados, lo que los hace particularmente peligrosos. Todos ellos, sin embargo, requieren que la víctima visite un servidor malicioso (se abre en una pestaña nueva).
La explotación es más probable
«Aunque no tenemos conocimiento de ningún exploit activo en la naturaleza, nuestra recomendación es instalar de inmediato estas actualizaciones para proteger su entorno», dijo el equipo de Exchange Server.
«Los clientes vulnerables a este problema deberían habilitar la Protección extendida para evitar este ataque», agregó el equipo. «Tenga en cuenta que la activación de la Protección ampliada (EP) solo se admite en versiones específicas de Exchange (consulte la documentación para obtener una lista completa de los requisitos previos)».
El hecho de que los delincuentes aún no exploten estos defectos no significa que no lo harán. Microsoft calificó las tres fallas como «más probable de explotación», lo que sugiere que los administradores de TI apliquen las correcciones de inmediato, ya que es solo cuestión de tiempo antes de que los delincuentes comiencen a abusar de los agujeros para distribuir malware. (se abre en una pestaña nueva).
«El análisis de Microsoft ha demostrado que el código de explotación podría crearse de tal manera que un atacante pudiera explotar esta vulnerabilidad de manera consistente. Además, Microsoft está al tanto de instancias pasadas de este tipo de vulnerabilidad explotada», dijo Microsoft.
“Esto lo convertiría en un objetivo atractivo para los atacantes y, por lo tanto, sería más probable que se pudieran crear exploits. Como tal, los clientes que revisaron la actualización de seguridad y determinaron su aplicabilidad dentro de su entorno deben tratar esto con mayor prioridad».
Microsoft creó un script que habilita esta característica, pero aconseja a los administradores que evalúen cuidadosamente sus entornos antes de usarlo en sus servidores.
Vía: BleepingComputer (se abre en una pestaña nueva)