Los investigadores de seguridad de GTSC han descubierto dos nuevas vulnerabilidades RCE en MS Exchange Server. Ya existen hazañas adecuadas para esto en la naturaleza. Microsoft fue notificado de las vulnerabilidades y comentó: "Actualmente, Microsoft está al tanto de los ataques dirigidos limitados".
A principios de agosto de 2022, mientras realizaba servicios de monitoreo de seguridad y respuesta a incidentes, el equipo de GTSC SOC descubrió que una infraestructura crítica estaba bajo ataque, específicamente su aplicación Microsoft Exchange. Durante la investigación, los expertos de GTSC Blue Team determinaron que el ataque aprovechó una vulnerabilidad de Exchange no publicada (una vulnerabilidad de día 0) y, por lo tanto, desarrolló de inmediato un plan de contención temporal.
Al mismo tiempo, los expertos de Red Team comenzaron a investigar y solucionar problemas del código de Exchange descompilado para encontrar la vulnerabilidad y explotar el código. Gracias a la experiencia de encontrar el exploit anterior para Exchange, se redujo el tiempo de investigación, por lo que la vulnerabilidad se descubrió rápidamente. La vulnerabilidad resulta tan crítica porque permite al atacante realizar RCE (ejecución remota de código) en el sistema comprometido. GTSC envió inmediatamente la vulnerabilidad a Zero Day Initiative (ZDI) para trabajar con Microsoft. Esta es la única manera de preparar un parche lo más rápido posible. ZDI ha verificado y confirmado los dos errores cuyos valores CVSS son 8,8 y 6,3. GTSC proporciona una descripción aproximada de las vulnerabilidades en su sitio web.
Microsoft comenta sobre las vulnerabilidades
Microsoft tiene muy rápidamente publicó una guía para clientes sobre las vulnerabilidades de día cero informadas en Microsoft Exchange Server. “Microsoft está investigando dos vulnerabilidades de día cero reportadas que afectan a Microsoft Exchange Server 2013, 2016 y 2019. La primera vulnerabilidad, identificada como CVE-2022-41040, es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF), mientras que la segunda, identificada como CVE-2022-41082, permite la ejecución remota de código (RCE) cuando se usa PowerShell para el atacante. accesible.
Actualmente, Microsoft tiene conocimiento de ataques dirigidos limitados que explotan las dos vulnerabilidades para penetrar en los sistemas de los usuarios. En estos ataques, CVE-2022-41040 puede permitir que un atacante autenticado active de forma remota CVE-2022-41082. Cabe señalar que para explotar con éxito cualquiera de las vulnerabilidades, se requiere acceso autenticado al servidor de Exchange vulnerable.
Aún no hay parches disponibles
Estamos trabajando en un cronograma acelerado para una versión de corrección. Hasta entonces, proporcionamos la guía de mitigación y detección a continuación para ayudar a los clientes a protegerse contra estos ataques”.
Más en Gteltsc.vn