Detectan 2 nuevas vulnerabilidades de Día 0 en Microsoft Exchange Server

Nuevos problemas de seguridad descubiertos en Microsoft Exchange Server.

Microsoft Exchange Server
Microsoft Exchange Server

Una empresa de seguridad virtual con sede en Vietnam ha informado de ataques que explotan dos nuevas vulnerabilidades de Día cero en Microsoft Exchange. Esta compañía cree que el ataque, visto por primera vez en agosto, se dirigió a la infraestructura crítica y fue lanzado por un grupo de amenazas chino. Algunos de los detalles técnicos aun no han sido revelados, pero según la empresa de seguridad virtual vietnamita, las actividades posteriores a la explotación del atacante incluyeron el despliegue de puertas traseras, el movimiento lateral y la distribución de malware.

Microsoft fue informada acerca de las vulnerabilidades mediante Zero Day Iniciative de trend Micro. La empresa Microsoft ha procedido a hacer una publicación en su blog con el fin de informar a sus usuarios que se está realizando una investigación de las vulnerabilidades informadas.

También | Nuevo navegador ligero y sin anuncios causa furor en redes, descubre a Browservio

Microsoft Exchange Server
Microsoft Exchange Server

Vulnerabilidades de Día 0 en Microsoft Exchange Server

La más grande de las empresas de la industria tecnológica, Microsoft declaro que  una de las vulnerabilidades es un problema de falsificación de solicitud del lado del servidor, que fue rastreado como CVE-2022-41040 y la segunda vulnerabilidad es una vulnerabilidad de código remoto rastreado con el nombre de CVE-2022-41082. Además esta es una vulnerabilidad que afecta a Exchange Server 2013, 2016 y 2019.

Además informo que hay que mantenerse alerta ya que es consciente de que algunos de los ataques dirigidos y limitados que usan las dos vulnerabilidades pueden ser utilizados para entrar en los sistemas de los usuarios. Además  señala que al haber finalizado de explotar estas vulnerabilidades, cualquier atacante tendría que ser autenticado a través del sistema destino. La compañía en repetidas ocasiones a subrayado a los usuarios de Microsoft Exchange Server que no tienen por qué tener ninguna preocupación.

Medidas de protección para usuarios de Microsoft Exchange Server

Como medida extra de seguridad Microsoft recomendó a los usuarios de Microsoft Exchange Server en las versiones afectadas aplicar las siguientes instrucciones para así poder reescribir el URL y bloquear cualquier puerto que se encuentre expuesto dentro de PowerShell.

  • Abrir el administrador de IIS.
  • Desplegar el sitio web predeterminado.
  • Seleccionar la opción de autodiscover.
  • Posterior mente en la lista de características hacer clic en la opción “reescritura de URL”
  • Seleccionar el panel de acciones que se encuentra ubicado en la parte derecha y hacer “click” en añadir reglas.
  • Hacer el bloqueo de solicitudes y hacer “click” en aceptar.
  • Agrega el codigo «*autodiscover.json.*\@.*Powershell*» ( no olvides quitar las comillas) y pulsa aceptar.
  • Expande las reglas y seleccionar el patrón que previamente hemos introducido y haciendo “click” en la sección de editar condiciones, cambiaa las entradas de condición del URL y request_URI

Por otra parte Microsoft ha confirmado que las instrucciones de re escritura del URL que está en polémica y discusión actual si ha logrado neutralizar o romper de forma permanente las cadenas de ataques actual.  Lo podemos lograr teniendo en cuenta o siguiendo las recomendaciones incluidas en el post del centro de respuesta de seguridad de Microsoft.