Se está utilizando una nueva falla de Microsoft Exchange para atacar servidores y entregar herramientas de acceso remoto y software de administración remota, revelaron investigadores.
Los expertos en ciberseguridad de CrowdStrike se toparon con una nueva cadena de exploits mientras investigaban un ataque de ransomware Play. Después de un análisis más profundo, se concluyó que la cadena de explotación pasa por alto las mitigaciones de la falla de reescritura de URL de ProxyNotShell, lo que permite a los actores de amenazas privilegios de ejecución remota de código (RCE) en los puntos finales de destino. (se abre en una pestaña nueva).
Llamaron al exploit OWASSRF y explicaron que los atacantes aprovecharon Remote PowerShell para abusar de las fallas rastreadas como CVE-2022-41080 y CVE-2022-41082.
Excalación de privilegios en servidores Exchange
«Parecía que las solicitudes correspondientes se realizaron directamente a través del punto final de la aplicación web de Outlook (OWA), lo que indica un método de explotación no revelado anteriormente para Exchange», explicaron los investigadores en una publicación de blog. (se abre en una pestaña nueva).
Cuando Microsoft descubrió por primera vez CVE-2022-41080, le otorgó una calificación «crítica», ya que permitía la escalada remota de privilegios en los servidores de Exchange, pero también agregó que no había evidencia de que el error se explotara en la naturaleza. Por lo tanto, es difícil determinar si se estaba abusando de la falla como un día cero, incluso antes de que el parche estuviera disponible.
Sin embargo, el parche está disponible y se recomienda a todas las organizaciones con servidores de Microsoft Exchange locales que apliquen al menos la actualización acumulativa de noviembre de 2022 para mantenerse a salvo. Si no pueden aplicar el parche en este momento, se recomienda desactivar OWA.
CrowdStrike cree que los atacantes estaban usando la falla para entregar las herramientas de acceso remoto Plink y AnyDesk, así como el software de administración remota ConnectWise.
Los servidores de Microsoft Exchange son un objetivo popular para los ciberdelincuentes, pero la empresa es muy consciente de este hecho y ha estado implementando varias soluciones para tratar de mantener seguros a sus clientes. Entre otras cosas, anunció que desactivaría permanentemente la autenticación básica de Exchange Online a principios de enero de 2023.
«A partir de principios de enero, enviaremos publicaciones del Centro de mensajes a los inquilinos afectados aproximadamente 7 días antes de realizar el cambio de configuración para deshabilitar permanentemente el uso de autenticación básica para los protocolos en el alcance», dijo la compañía. «Poco después de que la autenticación básica se deshabilite de forma permanente, cualquier cliente o aplicación que se conecte mediante la autenticación básica a uno de los protocolos afectados recibirá un error de nombre de usuario/contraseña/HTTP 401 incorrecto».
Durante años, Microsoft ha estado advirtiendo a los usuarios que la autenticación básica de Exchange Online eventualmente se cancelará y se reemplazará con un método de autenticación más moderno.