Actualización 05/10 – 15:20 PM:
A modo de apoyo para las organizaciones, CronUp Ciberseguridad ha dispuesto de un Script para NMAP para que puedan verificar si sus instancias de Microsoft Exchange son vulnerables.
Link: https://github.com/CronUp/Vulnerabilidades/blob/main/proxynotshell_checker.nse
Microsoft ha compartido nuevas recomendaciones de seguridad provisorias para las dos nuevas vulnerabilidades ZERO-DAY de Microsoft Exchange Server, rastreadas como CVE-2022-41040 y CVE-2022-41082, pero los investigadores advierten que la mitigación para servidores locales está lejos de ser suficiente.
Los actores de amenazas ya están utilizando estas dos fallas de seguridad en ataques para violar los servidores de Microsoft Exchange y lograr la ejecución remota de código. Muchos con la finalidad de ocasionar daños a la infraestructura IT, y otros con finalidades de realizar actividades de ciberespionaje.
Ambas fallas de seguridad fueron reportadas en privado a través del programa Zero Day Initiative hace unas tres semanas, por la compañía vietnamita de ciberseguridad GTSC, quien compartió los detalles públicamente la semana pasada.
Mientras tanto, la compañía ha puesto a disposición soluciones temporales para reducir el riesgo de explotación mediante la restricción de patrones de ataque, conocidos a través de una regla en el Administrador de IIS.
Sin embargo, según el investigador de seguridad, Jang (@testanull), el patrón de URL se puede eludir fácilmente, y el analista senior de vulnerabilidades Will Dormann señaló que las mitigaciones de bloqueo son «innecesariamente precisas y, por lo tanto, insuficientes».
Desde entonces, Microsoft ha revisado la regla de reescritura de URL (también disponible como script de PowerShell independiente) para tener esto en cuenta:
- Abrir el Administrador de IIS.
- Seleccionar sitio web predeterminado.
- En la vista características, haga clic en Reescritura de URL.
- En el panel Acciones del lado derecho, haga clic en Agregar regla(s)…
- Seleccione Bloqueo de solicitudes y haga clic en Aceptar.
- Agregue la cadena «.*autodiscover\.json.*Powershell.*» (excluyendo las comillas).
- Seleccione «Regular Expression under Using».
- Seleccione Anular solicitud en Cómo bloquear y, a continuación, haga clic en Aceptar.
- Expanda la regla y selecciónela con el patrón: .*autodiscover\.json.*Powershell.* y haga clic en Editar Condiciones.
- Cambiar la entrada de condición de {URL} a {REQUEST_URI}.
En el momento de realizar esta publicación, Microsoft no ha publicado una actualización para solucionar las dos fallas de seguridad, pero si ha publicado avisos de seguridad con información sobre el impacto y las condiciones necesarias para la explotación. Cabe una posibilidad que QUIZAS el parche de seguridad para mitigar estas vulnerabilidades sea lanzado el día martes 11 de octubre de 2022, pero no se puede estar seguro.
Microsoft describe CVE-2022-41040 como una vulnerabilidad de alto riesgo (cuya puntuación de CVSS es de 8.8/10) que un atacante puede aprovechar fácilmente para aumentar sus privilegios en el equipo afectado sin ninguna interacción del usuario, y la razón por la que está falla de seguridad no tiene una puntuación de gravedad más alta es que el actor de la amenaza debe ser identificado.
La CVE-2022-41082 tiene la misma puntuación de gravedad alta, pero puede usarse para la ejecución remota de código en servidores de Microsoft Exchange locales vulnerables por parte de un atacante con «privilegios que proporcionan capacidades básicas de usuario«, es decir, configuración y archivos propiedad del usuario.
Y finalmente, Microsoft recomienda encarecidamente a los clientes de Exchange Server que deshabiliten el acceso remoto a PowerShell para los usuarios que no son administradores de su organización.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
