\n<\/aside>\n<\/p>\n
Microsoft confirm\u00f3 el jueves por la noche la existencia de dos vulnerabilidades cr\u00edticas en su aplicaci\u00f3n Exchange que ya han comprometido varios servidores y representan un grave riesgo para unos 220.000 m\u00e1s en todo el mundo.<\/p>\n
Las fallas de seguridad actualmente sin parchear han estado bajo explotaci\u00f3n activa desde principios de agosto, cuando la empresa de seguridad con sede en Vietnam GTSC descubri\u00f3 que las redes de los clientes hab\u00edan sido infectadas con webshells maliciosos y que el punto de entrada inicial era alg\u00fan tipo de vulnerabilidad de Exchange. El exploit misterioso parec\u00eda casi id\u00e9ntico a un d\u00eda cero de Exchange de 2021 llamado ProxyShell, pero todos los servidores de los clientes hab\u00edan sido parcheados contra la vulnerabilidad, que se rastrea como CVE-2021-34473. Eventualmente, los investigadores descubrieron que los piratas inform\u00e1ticos desconocidos estaban explotando una nueva vulnerabilidad de Exchange.<\/p>\n
Webshells, puertas traseras y sitios falsos<\/h2>\n \u201cDespu\u00e9s de dominar con \u00e9xito el exploit, registramos ataques para recopilar informaci\u00f3n y crear un punto de apoyo en el sistema de la v\u00edctima\u201d, escribieron los investigadores en una publicaci\u00f3n publicada el mi\u00e9rcoles. \u201cEl equipo de ataque tambi\u00e9n us\u00f3 varias t\u00e9cnicas para crear puertas traseras en el sistema afectado y realizar movimientos laterales a otros servidores en el sistema\u201d.<\/p>\n
El jueves por la noche, Microsoft confirm\u00f3 que las vulnerabilidades eran nuevas y dijo que estaba luchando por desarrollar y lanzar un parche. Las nuevas vulnerabilidades son: CVE-2022-41040, una vulnerabilidad de falsificaci\u00f3n de solicitud del lado del servidor, y CVE-2022-41082, que permite la ejecuci\u00f3n remota de c\u00f3digo cuando el atacante puede acceder a PowerShell.<\/p>\n
\u201cEn este momento, Microsoft est\u00e1 al tanto de ataques dirigidos limitados que usan las dos vulnerabilidades para ingresar a los sistemas de los usuarios\u201d, escribieron los miembros del equipo del Centro de Respuesta de Seguridad de Microsoft. \u201cEn estos ataques, CVE-2022-41040 puede permitir que un atacante autenticado active de forma remota CVE-2022-41082\u201d. Los miembros del equipo enfatizaron que los ataques exitosos requieren credenciales v\u00e1lidas para al menos un usuario de correo electr\u00f3nico en el servidor.<\/p>\n
La vulnerabilidad afecta a los servidores de Exchange locales y, estrictamente hablando, no al servicio de Exchange alojado de Microsoft. La gran advertencia es que muchas organizaciones que utilizan la oferta en la nube de Microsoft eligen una opci\u00f3n que utiliza una combinaci\u00f3n de hardware local y en la nube. Estos entornos h\u00edbridos son tan vulnerables como los locales independientes.<\/p>\n