2022] Vulnerabilidades 0day en Microsoft Exchange Server

Fecha de publicación 30/09/2022

Importancia

5 - Crítica

Recursos Afectados

Microsoft Exchange Server, versiones 2013, 2016 y 2019.

Para ayudar a las organizaciones a comprobar si sus servidores Exchange han sido explotados por este fallo, GTSC ha publicado una guía y una herramienta para escanear los archivos de registro de IIS:

Ejecutar el comando de PowerShell:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200

Utilizar la herramienta NCSE0Scanner desarrollada por GTSC.

Descripción

[Actualización 03/10/2022] GTSC Cyber Security ha informado de una nueva campaña de ataque que explota 2 vulnerabilidades 0-day, conocidas como ProxyNotShell, afectando a Microsoft Exchange Server, que fueron notificadas a Microsoft a través del programa ZDI de Trend Micro: ZDI-CAN-18333 (CVSS 8.8) y ZDI-CAN-18802 (CVSS 6.3). La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código remoto.

Solución

Microsoft está desarrollando una solución. Hasta entonces, ha proporcionado las siguientes medidas de mitigación y detección para ayudar a sus clientes a protegerse de estos ataques:

Si no se ejecuta Microsoft Exchange on premise y no se tiene Outlook Web App con acceso a Internet, no se verá afectado.
Los clientes de Microsoft Exchange Online no necesitan tomar ninguna medida. Los clientes con instalaciones de Microsoft Exchange deben revisar y aplicar las siguientes instrucciones de reescritura de URL y bloquear los puertos expuestos de Remote PowerShell, añadiendo la siguiente regla de bloqueo:

IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions

[Actualización 03/10/2022]

Microsoft recomienda a los clientes de Exchange Server que deshabiliten el acceso remoto a PowerShell para los usuarios que no sean administradores en su organización.

El bloqueo de los puertos utilizados para Remote PowerShell puede limitar estos ataques.
- HTTP: 5985;
- HTTPS: 5986.
Microsoft ha confirmado que una serie de instrucciones de reescritura de URL consiguen romper las cadenas de ataque actuales. Estas instrucciones aparecen listadas, paso a paso, en la sección Mitigations del post publicado por Microsoft.
[Actualización 03/10/2022] Adicionalmente, el fabricante ha publicado el script EOMTv2 para automatizar las medidas de mitigación relativas a URL Rewrite.

[Actualización 22/12/2022] Recientemente, Microsoft ha publicado actualizaciones para solucionar estas vulnerabilidades.

Detalle

Esta vulnerabilidad, de tipo Server-Side Request Forgery (SSRF), solo puede ser explotada por atacantes autenticados. Se ha asignado el identificador CVE-2022-41040 para esta vulnerabilidad.
Los atacantes podrían acceder a PowerShell Remoting en servidores Exchange expuestos y vulnerables para la ejecución remota de código (RCE) a través esta vulnerabilidad. Se ha asignado el identificador CVE-2022-41082 para esta vulnerabilidad.

En este momento, Microsoft es consciente de limitados ataques dirigidos que explotan estas 2 vulnerabilidades para entrar en los sistemas de los usuarios. En estos ataques CVE-2022-41040 un atacante autenticado podría activar remotamente CVE-2022-41082. Hay que tener en cuenta que es necesario el acceso autenticado al Exchange Server vulnerable para explotar con éxito cualquiera de las 2 vulnerabilidades.

La investigación de GTSC Cyber Security incluye una serie de indicadores de compromiso (IOCs) en su publicación.