Hace unos días, se conocieron dos nuevas vulnerabilidades de Microsoft Exchange Server y están siendo explotadas activamente en una serie de ataques dirigidos. Microsoft aún no puede ofrecer un parche para las vulnerabilidades, solo una guía para el cliente.
La primera vulnerabilidad, CVE-2022-41040, es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) que esencialmente abre la puerta para que los atacantes obtengan acceso al servidor Exchange. La segunda vulnerabilidad, CVE_2022-41082, permite la ejecución remota de código (RCE) a través de PowerShell una vez en el servidor. La empresa vietnamita GTSC también ha publicado diversas informaciones sobre las vulnerabilidades.
Los expertos de Sophos han investigado las vulnerabilidades
Esta cadena de ataques es similar a los ataques ProxyShell del año pasado y, al igual que con los ataques del año pasado, la industria de la seguridad está preparada para explotar estas vulnerabilidades ahora que son de conocimiento público. Para obtener más información sobre estas vulnerabilidades, hay una publicación de blog de Sophos X-Ops con explicaciones técnicas. Además, Chester Wisniewski, científico investigador principal de Sophos, comparte consejos sobre cómo proteger los sistemas hasta que Microsoft haya preparado el parche para estas vulnerabilidades (actualmente existe una guía del cliente).
Chester Wisniewski, científico investigador principal de Sophos: “Después de que Microsoft confirmara dos nuevas vulnerabilidades de día cero en Microsoft Exchange el viernes, los investigadores de seguridad han estado investigando el impacto potencial y qué hacer para protegerse contra la explotación. Al momento de escribir este artículo, solo se sabe que una cantidad extremadamente pequeña de víctimas se ve afectada por esta vulnerabilidad”.
Todavía no hay parches disponibles
“Esto nos da a todos algo de tiempo para implementar correcciones y prepararnos para los parches tan pronto como Microsoft los ponga a disposición. Para los clientes de Exchange que están al día con los parches y actualizaciones de septiembre de 2022, Microsoft ha implementado una regla de reescritura de URL como mitigación contra el ataque conocido para evitar que funcione. Desafortunadamente, eludir este nerf ha demostrado ser trivial, por lo que todavía estamos esperando un parche oficial. Los equipos de TI deben prepararse para aplicar el parche lo antes posible después del lanzamiento”.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.