{"id":19465,"date":"2022-10-20T09:51:39","date_gmt":"2022-10-20T12:51:39","guid":{"rendered":"https:\/\/ostec.blog\/?p=19465"},"modified":"2022-10-20T09:51:39","modified_gmt":"2022-10-20T12:51:39","slug":"las-vulnerabilidades-de-dia-cero-de-microsoft-exchange-server-en-la-mira-de-los-ciberdelincuentes","status":"publish","type":"post","link":"https:\/\/ostec.blog\/es\/generico\/las-vulnerabilidades-de-dia-cero-de-microsoft-exchange-server-en-la-mira-de-los-ciberdelincuentes\/","title":{"rendered":"Las vulnerabilidades de d\u00eda cero de Microsoft Exchange Server en la mira de los ciberdelincuentes"},"content":{"rendered":"

Hace unas semanas, investigadores informaron a Microsoft, a trav\u00e9s de Zero Day Initiative, de dos nuevas vulnerabilidades de d\u00eda cero en Microsoft Exchange Server. Y ahora, estas dos vulnerabilidades est\u00e1n siendo explotadas por ciberdelincuentes.<\/p>\n

Zero Day Initiative (ZDI) es una iniciativa internacional para identificar vulnerabilidades en el software que surgi\u00f3 en 2005 por TippingPoint, una divisi\u00f3n de 3Com que fue adquirida por Trend Micro en 2015.<\/p>\n

El descubrimiento de la vulnerabilidad<\/h2>\n

A principios de agosto de este a\u00f1o, los investigadores de GTSC identificaron ataques que explotaban la falla de d\u00eda cero <\/a> para la ejecuci\u00f3n remota de c\u00f3digo mientras realizaban servicios de monitoreo de seguridad y respuesta a incidentes.<\/p>\n

Mientras realizaban una investigaci\u00f3n, los expertos del GTSC Blue Team<\/a> (profesionales de seguridad defensiva) determinaron que en el ataque se utiliz\u00f3 una vulnerabilidad de seguridad de Exchange no publicada. Es decir, una vulnerabilidad de d\u00eda cero.<\/p>\n

El Blue Team ide\u00f3 un plan de contenci\u00f3n temporal, mientras que el Red Team<\/a> investig\u00f3 y depur\u00f3 el c\u00f3digo Exchange descompilado para encontrar la vulnerabilidad y explotar el c\u00f3digo.<\/p>\n

La falla descubierta es tan grave que permite al atacante RCE el sistema comprometido. GTSC envi\u00f3 la vulnerabilidad a ZDI para que Microsoft pudiera lanzar un parche lo antes posible. <\/p>\n

ZDI est\u00e1 rastreando bugs como ZDI-CAN-18802 y ZDI-CAN-1833. Mientras que CVE los rastrea como CVE-2022-41040<\/a> y CVE-2022-41082<\/a>, con puntuaciones 8,8 y 6,3. <\/p>\n

Explotaci\u00f3n de fallas<\/h2>\n

GTSC solo ha publicado algunos detalles relacionados con las fallas de d\u00eda cero. Prefiriendo no revelar detalles t\u00e9cnicos por el momento.<\/p>\n

Blue Team revel\u00f3 que las solicitudes utilizadas en la cadena de explotaci\u00f3n son similares a las utilizadas en los ataques dirigidos a fallas de ProxyShell.<\/p>\n

autodiscover\/autodiscover.json?@evil.com\/&Email=autodiscover\/autodiscover.json%3f@evil.com.<\/span><\/p>\n

Al revisar otros registros, Blue Team not\u00f3 que el atacante pod\u00eda ejecutar comandos en el sistema atacado.<\/p>\n

Seg\u00fan los investigadores, ya se hab\u00eda instalado la \u00faltima versi\u00f3n de Exchange, por lo que era imposible realizar un exploit utilizando la vulnerabilidad ProxyShell. Con eso, el Blue Team pudo confirmar que se trataba de una nueva vulnerabilidad RCE de d\u00eda cero.<\/p>\n

Despu\u00e9s de la explotaci\u00f3n<\/h2>\n

Los investigadores notaron que los atacantes encadenaron las fallas de d\u00eda cero para contaminar los servidores, lo que permiti\u00f3 el robo de datos y el movimiento lateral para comprometer otros sistemas en las redes.<\/p>\n

Seg\u00fan los investigadores, un grupo de amenazas chino est\u00e1 detr\u00e1s de estos ataques recientes. La sospecha est\u00e1 motivada por el hecho de que la codificaci\u00f3n de caracteres de la p\u00e1gina webshell es 936, una codificaci\u00f3n de Microsoft para chino simplificado.<\/p>\n

Adem\u00e1s, el agente empleado para instalar los webshells pertenece a una herramienta de administraci\u00f3n de c\u00f3digo abierto con sede en China con soporte para la gesti\u00f3n de webshells, identificada como Antsword.<\/p>\n

Mitigaci\u00f3n<\/h2>\n

Hasta que se publiquen actualizaciones y parches de seguridad para abordar los dos d\u00edas cero, Microsoft ha compartido algunos consejos para mitigarlos.<\/p>\n

Los clientes de Exchange Server deben completar la mitigaci\u00f3n de la regla de reescritura de URL para CVE-2022-41040 y la mitigaci\u00f3n de deshabilitar PowerShell remoto para no administradores para CVE-2022-41082 que se describe a continuaci\u00f3n.<\/p>\n

Los clientes de Exchange Online no necesitan realizar ninguna acci\u00f3n.<\/p>\n

Regla de reescritura de URL<\/h3>\n

La mitigaci\u00f3n actual de Exchange Server consiste en agregar una regla de bloqueo en \u201cIIS Manager > Default Web Site > URL Rewrite > Actions\u201d para bloquear patrones de ataque conocidos.<\/p>\n

Los clientes de Exchange Server deben revisar y usar una de estas opciones.<\/p>\n