Blog

ALERTA DE SEGURIDAD: Nueva vulnerabilidad crítica para Microsoft Exchange en explotación activa (0-day RCE)

Resumen Ejecutivo:

A pocos días del ataque a la plataforma de correos del Estado Mayor Conjunto de Chile, aparece otra alerta de seguridad crítica en el panorama mundial.

Aproximadamente a principios de agosto de 2022, la empresa de Ciberseguridad vietnamita GTST, detecto un ataque a infraestructura crítica, específicamente dirigidos a la plataforma de correo corporativo Microsoft Exchange. Durante la investigación, el equipo de Blue Team, determinó que en el ataque informático se utilizó una vulnerabilidad para Exchange aún no publicada, es decir, una vulnerabilidad de tipo ZERO-DAY.

Al mismo tiempo, el equipo Red Team, investigó y descubrió la vulnerabilidad en el código decompilado de Exchange, la cual clasificó como CRÍTICA, debido a que permite la Ejecución Remota de Código o RCE en el sistema comprometido. GTSC envió la vulnerabilidad a Zero Day Initiative (ZDI) para trabajar con Microsoft para que pudieran preparar un parche lo antes posible. ZDI verificó y validó 2 errores, cuyos puntajes CVSS actualmente son 8.8 y 6.3.

Imagen: GTSC
Imagen: GTSC

Sin embargo, hasta ahora, GTSC ha visto que otros clientes también están experimentando el mismo problema. Después de una cuidadosa prueba, confirmamos que esos sistemas estaban siendo atacados usando esta vulnerabilidad 0-day.

La telemetría de CronUp pudo identificar al menos 4 organizaciones comprometidas en Latinoamérica, específicamente en Brasil, Argentina, Venezuela y una empresa de Ciberseguridad en México.

Lo anterior, indica una explotación mas bien aleatoria y masiva, con el objetivo de instalar puertas traseras, que les permitan el acceso remoto posterior e implementar otros ataques más específicos y de mayor impacto.

Información de la Vulnerabilidad

El proceso de explotación se compone de dos partes principales:

  • Solicitudes HTTP con un formato muy similar a la vulnerabilidad ProxyShell:  autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint> &Email=autodiscover/autodiscover.json%3f@evil.com.
  • El uso de la solicitud anterior para acceder a un componente en el backend donde se podría implementar el ataque RCE (Remote Code Execution).

Por ahora, GTSC no ha detallado más información sobre el exploit para resguardar la seguridad de la comunidad hasta que Microsoft libere un parche que corrija esta vulnerabilidad.

Indicadores de Compromiso (IoC)

A continuación se presentan los indicadores de compromiso detectados en los ataques para que sean agregados en las plataformas de seguridad para una protección preventiva.

Nombre de archivo:  pxh4HG1v.ashx

Hash (SHA256):  c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

Ruta:  C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx

Nombre de archivo:  RedirSuiteServiceProxy.aspx

Hash (SHA256):  65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5

Ruta:  C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx

Nombre de archivo:  RedirSuiteServiceProxy.aspx

Hash (SHA256):  b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca

Ruta:  C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx

Nombre de archivo:  Xml.ashx

Hash (SHA256):  c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

Ruta:  Xml.ashx

Nombre de archivo : errorEE.aspx

SHA256 : be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257

Ruta:  C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx

Nombre del archivo:  dll.dll

SHA256:

  • 074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82
  • 45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9
  • 9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0
  • 29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3
  • c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2

Nombre del archivo : 180000000.dll

SHA256 : 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e

IP:

  • 125[.]212[.]220[.]48
  • 5[.]180[.]61[.]17
  • 47[.]242[.]39[.]92
  • 61[.]244[.]94[.]85
  • 86[.]48[.]6[.]69
  • 86[.]48[.]12[.]64
  • 94[.]140[.]8[.]48
  • 94[.]140[.]8[.]113
  • 103[.]9[.]76[.]208
  • 103[.]9[.]76[.]211
  • 104[.]244[.]79[.]6
  • 112[.]118[.]48[.]186
  • 122[.]155[.]174[.]188
  • 125[.]212[.]241[.]134
  • 185[.]220[.]101[.]182
  • 194[.]150[.]167[.]88
  • 212[.]119[.]34[.]11

URL:

  • hxxp://206[.]188[.]196[.]77:8080/themes.aspx

C2:

  • 137[.]184[.]67[.]33

Recomendaciones de Seguridad

Como medida temporal (confirmada), y mientras se espera por el parche oficial por parte de Microsoft, se recomienda añadir una regla de bloqueo en el módulo URL Rewrite Rule de IIS.

  1. En «Autodiscover» en «FrontEnd» seleccione la pestaña «URL Rewrite» y luego «Request Blocking«.
  2. Agregue el siguiente string en «URL Path«: “.*autodiscover\.json.*\@.*Powershell.*“.   
  3. En «Condition» elija {REQUEST_URI}.

También es válido ejecutar la herramienta desarrollada para la detección de esta vulnerabilidad que se puede descargar desde: https://github.com/ncsgroupvn/NCSE0Scanner.

Además, CronUp recomienda implementar este bloqueo en los WAF perimetrales e instalar una solución EDR robusta en el servidor Microsoft Exchange y un sistema que permita el monitoreo del tráfico y archivos en el equipo.

Recomendamos a todas las organizaciones y empresas del mundo, especialmente en Latinoamérica que utilicen Microsoft Exchange, que actualicen la plataforma a la última versión disponible, luego verifiquen, revisen y apliquen estas recomendaciones de seguridad lo antes posible para evitar daños graves.

Actualización 30/09: Mediante un comunicado Oficial de la Microsoft Security Response Center, ha dado más información sobre las versiones vulnerables a los Zeros-Days, reportados el día de ayer. Las versiones de Microsoft Exchange Vulnerables son:

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Posiblemente, también versiones descontinuadas de Microsoft Exchange Server puedan ser vulnerables.

Vulnerabilidades Rastreados como CVE

  • CVE-2022-41040 – Server-Side Request Forgery (SSRF)
  • CVE-2022-41082 – Ejecución remota de código (RCE) cuando el atacante puede acceder al PowerShell.

Actualización 05/10 – 15:20 PM:

A modo de apoyo para las organizaciones, CronUp Ciberseguridad ha dispuesto de un Script para NMAP para que puedan verificar si sus instancias de Microsoft Exchange son vulnerables.

Link: https://github.com/CronUp/Vulnerabilidades/blob/main/proxynotshell_checker.nse

La imagen tiene un atributo ALT vacío; su nombre de archivo es image-6-1024x228.png
Imagen: CronUp Ciberseguridad

Referencias

https://www.gteltsc.vn/blog/canh-bao-chien-dich-tan-cong-su-dung-lo-hong-zero-day-tren-microsoft-exchange-server-12714.html

Seguiremos actualizando en la medida que se conozcan mas antecedentes.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required