Microsoft dice que dos nuevos errores de día cero de Exchange están bajo ataque activo, pero no hay una solución inmediata

Microsoft ha confirmado que los ciberdelincuentes están explotando dos vulnerabilidades de día cero de Exchange Server sin parches en ataques del mundo real. La empresa vietnamita de ciberseguridad GTSC, que descubrió por primera vez las fallas como parte de su respuesta al incidente de ciberseguridad de un cliente, en agosto de 2022, dijo que los dos días cero se han utilizado en ataques a los entornos de sus clientes desde principios de agosto de 2022. Seguridad de Microsoft Response Center (MRSC) dijo en una publicación de blog el jueves por la noche que las dos vulnerabilidades fueron identificadas como CVE-2022-41040, una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF), mientras que la segunda, identificada como CVE-2022-41082, permite ejecución remota de código en un servidor vulnerable cuando el atacante puede acceder a PowerShell. “En este momento, Microsoft está al tanto de ataques dirigidos limitados que utilizan las dos vulnerabilidades para ingresar a los sistemas de los usuarios”, confirmó el gigante tecnológico. Microsoft señaló que un atacante necesitaría acceso autenticado al Exchange Server vulnerable, como credenciales robadas, para explotar con éxito cualquiera de las dos vulnerabilidades, que afectan a Microsoft Exchange Server 2013, 2016 y 2019 en las instalaciones. Microsoft no ha compartido más. detalles sobre los ataques y se negó a responder a nuestras preguntas. La empresa de seguridad Trend Micro otorgó a las dos vulnerabilidades calificaciones de gravedad de 8,8 y 6,3 sobre 10. Sin embargo, GTSC informa que los ciberdelincuentes encadenaron las dos vulnerabilidades para crear puertas traseras en el sistema de la víctima y también moverse lateralmente a través de la red comprometida. “Después de dominar con éxito el exploit, registramos ataques para recopilar información y crear un punto de apoyo en el sistema de la víctima”, dijo GTSC. GTSC dijo que sospecha que un grupo de amenazas chino puede ser responsable de los ataques en curso porque la página de códigos webshell usa codificación de caracteres para chino simplificado. Los atacantes también han implementado el webshell de China Chopper en ataques de acceso remoto persistente, que es una puerta trasera comúnmente utilizada por grupos de piratería patrocinados por el estado de China. El investigador de seguridad Kevin Beaumont, quien fue uno de los primeros en discutir los hallazgos de GTSC en una serie de tweets el jueves, dijo que es consciente de que la vulnerabilidad se está “explotando activamente en la naturaleza” y que “puede confirmar que un número significativo de servidores de Exchange han sido pirateados”. Microsoft se negó a decir cuándo estarían disponibles los parches, pero señaló en su publicación de blog que la próxima solución se encuentra en una “línea de tiempo acelerada”. Hasta entonces, la empresa recomienda que los clientes sigan las medidas de mitigación temporales compartidas por GTSC, lo que implica agregar una regla de bloqueo en el Administrador de IIS. La compañía señaló que los clientes de Exchange Online no necesitan tomar ninguna medida en este momento porque los días cero solo afectan a los servidores de Exchange locales.