Blog

Nuevas «soluciones» provisionales para las vulnerabilidades ZERO-DAY de Microsoft Exchange Server – ProxyNotShell

Actualización 05/10 – 15:20 PM:

A modo de apoyo para las organizaciones, CronUp Ciberseguridad ha dispuesto de un Script para NMAP para que puedan verificar si sus instancias de Microsoft Exchange son vulnerables.

Link: https://github.com/CronUp/Vulnerabilidades/blob/main/proxynotshell_checker.nse

Imagen: CronUp Ciberseguridad

Microsoft ha compartido nuevas recomendaciones de seguridad provisorias para las dos nuevas vulnerabilidades ZERO-DAY de Microsoft Exchange Server, rastreadas como CVE-2022-41040 y CVE-2022-41082, pero los investigadores advierten que la mitigación para servidores locales está lejos de ser suficiente.

Los actores de amenazas ya están utilizando estas dos fallas de seguridad en ataques para violar los servidores de Microsoft Exchange y lograr la ejecución remota de código. Muchos con la finalidad de ocasionar daños a la infraestructura IT, y otros con finalidades de realizar actividades de ciberespionaje.

Ambas fallas de seguridad fueron reportadas en privado a través del programa Zero Day Initiative hace unas tres semanas, por la compañía vietnamita de ciberseguridad GTSC, quien compartió los detalles públicamente la semana pasada.

Mientras tanto, la compañía ha puesto a disposición soluciones temporales para reducir el riesgo de explotación mediante la restricción de patrones de ataque, conocidos a través de una regla en el Administrador de IIS.

Imagen: GTSC

Sin embargo, según el investigador de seguridad, Jang (@testanull), el patrón de URL se puede eludir fácilmente, y el analista senior de vulnerabilidades Will Dormann señaló que las mitigaciones de bloqueo son «innecesariamente precisas y, por lo tanto, insuficientes».

Imagen: @testanull
Imagen: @wdormann
Vídeo: @wdormann

Desde entonces, Microsoft ha revisado la regla de reescritura de URL (también disponible como script de PowerShell independiente) para tener esto en cuenta:

  • Abrir el Administrador de IIS.
  • Seleccionar sitio web predeterminado.
  • En la vista características, haga clic en Reescritura de URL.
  • En el panel Acciones del lado derecho, haga clic en Agregar regla(s)…
  • Seleccione Bloqueo de solicitudes y haga clic en Aceptar.
  • Agregue la cadena «.*autodiscover\.json.*Powershell.*» (excluyendo las comillas).
  • Seleccione «Regular Expression under Using».
  • Seleccione Anular solicitud en Cómo bloquear y, a continuación, haga clic en Aceptar.
  • Expanda la regla y selecciónela con el patrón: .*autodiscover\.json.*Powershell.* y haga clic en Editar Condiciones.
  • Cambiar la entrada de condición de {URL} a {REQUEST_URI}.

En el momento de realizar esta publicación, Microsoft no ha publicado una actualización para solucionar las dos fallas de seguridad, pero si ha publicado avisos de seguridad con información sobre el impacto y las condiciones necesarias para la explotación. Cabe una posibilidad que QUIZAS el parche de seguridad para mitigar estas vulnerabilidades sea lanzado el día martes 11 de octubre de 2022, pero no se puede estar seguro.

Microsoft describe CVE-2022-41040 como una vulnerabilidad de alto riesgo (cuya puntuación de CVSS es de 8.8/10) que un atacante puede aprovechar fácilmente para aumentar sus privilegios en el equipo afectado sin ninguna interacción del usuario, y la razón por la que está falla de seguridad no tiene una puntuación de gravedad más alta es que el actor de la amenaza debe ser identificado.

La CVE-2022-41082 tiene la misma puntuación de gravedad alta, pero puede usarse para la ejecución remota de código en servidores de Microsoft Exchange locales vulnerables por parte de un atacante con «privilegios que proporcionan capacidades básicas de usuario«, es decir, configuración y archivos propiedad del usuario.

Y finalmente, Microsoft recomienda encarecidamente a los clientes de Exchange Server que deshabiliten el acceso remoto a PowerShell para los usuarios que no son administradores de su organización.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required