Investigadores de la Empresa GTSC afirmaron haber encontrado durante una respuesta ante un incidente reportado, trazas de un nuevo ataque descubierto aprovechando una vulnerabilidad de día cero (0-day) que afecta a los despliegues "on premise" de la aplicación Microsoft Echange.
La explotación de esta vulnerabilidad permite a los atacantes subir remotamente un webshell al servidor donde se aloja el servicio de exchange, confirmaron los investigadores.
Se confirmaron 2 vulnerabilidades por parte de Microsoft, la primera de ellas es un problema de SSRF y la segunda un problema de ejecución remota de código (RCE). Estas vulnerabilidades afectan a las versiones 2013, 2016 y 2019 de Exchange. También el gigante tecnológico confirmo que se han detectado explotaciones de estas vulnerabilidades por parte de múltiples actores.
Por el momento no se cuenta con un parche oficial para Microsoft Exchange aunque se ha publicado uno temporal por parte de Microsoft, consisten en la adicción de una regla nueva que rescribe la url en el manager de IIS del servidor de Exchange.
Los ataques que se pueden hacer con estas vulnerabilidades comparten cierta semejanza con los ocurridos en el año pasado con ProxyLogon y ProxyShell. Estos ataques derivaron en múltiples campañas de spam, abuso de servidores para el minado de criptos e incluso se llegó a generar una paralización del parlamento noruego.
La Última Línea.
Esta vulnerabilidad que llevaba en existencia desde agosto del 2021 y Microsoft ha publicado unas medidas para mitigar los ataques zero-days en Microsoft Exchange Server.
Pasos a seguir para mitigar los ataques
Abrir el administrador de IIS.
Seleccionar el sitio web predeterminado.
En el Actions panel de la derecha, haga clic en Add Rule(s).
Seleccione Request Blocking y haga clic en OK.
Añada la cadena «.autodiscover.json.Powershell.*» (sin las comillas).
Seleccione la Regular Expression en uso.
Seleccione Abort Request en How to block y en OK.
Expanda la regla y seleccione la regla con la cadena: .*autodiscover\.json.*Powershell.* y haga click en Edit under Conditions.
Cambie la Condition input de {URL} en {UrlDecode:{REQUEST_URI}} y haga click en OK.
Sin duda alguna despues de la publicacion de como mitigar estas vulnerabilidades, en el proximo post hablaremos sobre el hackeo a la sedena, la cual fue vulnerada por un grupo de hackers aprovechándose de esta vulnerabilidad que estuvo desde el año pasado.
Comments