Microsoft emite un aviso para dos vulnerabilidades de 0 días en Exchange Server, sin parche todavía

Microsoft Exchange Server simplemente no puede parar. El año pasado, la compañía advirtió sobre ataques generalizados a los servidores locales y se apresuró durante varias semanas a detallar las medidas para abordarlos y lanzar actualizaciones de seguridad. Ahora parece que el software está siendo atacado nuevamente con dos vulnerabilidades de día cero .

Como suele ser el caso, esto no afecta a los clientes de Exchange Online y no necesitan hacer nada. Las vulnerabilidades se aplican a las instalaciones locales de Exchange Server 2013, 2016 y 2019.

Las dos vulnerabilidades están etiquetadas como CVE-2022-41040 y CVE-2022-41082, respectivamente. La primera es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF), mientras que la segunda permite que un atacante realice ataques de ejecución remota de código (RCE) a través de PowerShell. Sin embargo, un atacante necesitaría acceso autenticado al Exchange Server para aprovechar cualquiera de las dos vulnerabilidades.

Dado que aún no hay una solución, es comprensible que Microsoft no haya entrado en los detalles de la cadena de ataque. Sin embargo, observó varias mitigaciones, que incluyen agregar una regla de bloqueo a las instrucciones de reescritura de URL y bloquear los puertos 5985 (HTTP) y 5986 (HTTPS) que usa Remote PowerShell.

Desafortunadamente, no hay búsquedas específicas para Microsoft Sentinel, y Microsoft Defender para Endpoint solo puede detectar actividades posteriores a la explotación, que también incluyen la detección de malware de shell web » Chopper » que se encontró en ataques «in the wild». Microsoft ha asegurado a los clientes que está trabajando en una «vía rápida» para la solución, pero aún no ha revelado una fecha de lanzamiento tentativa para la solución. Puede encontrar más información sobre la mitigación y la detección de vulnerabilidades de día cero aquí .