Guía para el cliente sobre vulnerabilidades de día cero notificadas en Microsoft Exchange Server

Actualizaciones del 2 de octubre de 2022:

Actualizaciones del 30 de septiembre de 2022:

  • Se agregó un vínculo al blog de seguridad de Microsoft en Resumen.
  • Microsoft creó un script para los pasos de mitigación de reescritura de URL y modificó el paso 6 en la sección Mitigaciones.
  • Microsoft lanzó la mitigación del Servicio de mitigación de emergencia de Exchange (EEMS) para este problema. Más información está en la sección Mitigaciones. 
  • Guía de interfaz de exploración antimalware (AMSI) y auditoría de exclusiones de AV para optimizar la detección y el bloqueo de la explotación de vulnerabilidades de Exchange en la sección Detección.
  • Consultas de búsqueda de Microsoft Sentinel en la sección Detección.

Resumen

Microsoft está investigando dos vulnerabilidades de día cero informadas que afectan a Microsoft Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019. La primera, identificada como CVE-2022-41040 , es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) y la el segundo, identificado como CVE-2022-41082 , permite la ejecución remota de código (RCE) cuando el atacante puede acceder a PowerShell.  

Actualmente, Microsoft tiene conocimiento de ataques dirigidos limitados que utilizan estas dos vulnerabilidades. En estos ataques, CVE-2022-41040 puede permitir que un atacante autenticado active de forma remota CVE-2022-41082 . Cabe señalar que el acceso autenticado al servidor Exchange vulnerable es necesario para explotar con éxito cualquiera de las vulnerabilidades.

Estamos trabajando en una línea de tiempo acelerada para lanzar una solución. Hasta entonces, proporcionamos mitigaciones y la guía de detecciones a continuación para ayudar a los clientes a protegerse de estos ataques. 

Microsoft Exchange Online tiene detecciones y mitigaciones para proteger a los clientes. Como siempre, Microsoft está supervisando estas detecciones en busca de actividad maliciosa y responderemos en consecuencia si es necesario para proteger a los clientes.

Los equipos de Microsoft Security Threat Intelligence han proporcionado un análisis más detallado de la actividad observada junto con una guía de mitigación y detección en un nuevo blog de Microsoft Security .

También continuaremos brindando actualizaciones aquí para ayudar a mantener informados a los clientes. 

Mitigaciones

Los clientes de Exchange Online no necesitan realizar ninguna acción.

La mitigación actual de Exchange Server consiste en agregar una regla de bloqueo en "Administrador de IIS -> Sitio web predeterminado -> Reescritura de URL -> Acciones" para bloquear los patrones de ataque conocidos. Los clientes de Exchange Server deben revisar y elegir solo una de las siguientes tres opciones de mitigación.

Opción 1: para los clientes que tienen habilitado el Servicio de mitigación de emergencia de Exchange (EEMS), Microsoft lanzó la mitigación de reescritura de URL para Exchange Server 2016 y Exchange Server 2019. La mitigación se habilitará automáticamente. Consulte esta publicación de blog para obtener más información sobre este servicio y cómo verificar las mitigaciones activas.

Opción 2: Microsoft creó el siguiente script para los pasos de mitigación de reescritura de URL. https://aka.ms/EOMTv2 

Opción 3: los clientes pueden seguir las instrucciones a continuación, que actualmente se están discutiendo públicamente y logran romper las cadenas de ataque actuales. 

1. Abra el Administrador de IIS. 
2. Seleccione Sitio web predeterminado.
3. En la Vista de funciones, haga clic en Reescritura de URL.

4. En el panel Acciones del lado derecho, haga clic en Agregar regla(s)...  

5. Seleccione Solicitud de bloqueo y haga clic en Aceptar. 

6. Agregue la cadena “ .*autodiscover\.json.*\@.*Powershell.* ” (sin incluir las comillas).
7. Seleccione Expresión regular en Uso .
8. Seleccione Cancelar solicitud en Cómo bloquear y luego haga clic en Aceptar.

9. Expanda la regla y seleccione la regla con el patrón .*autodiscover\.json.*\@.*Powershell.* y haga clic en Editar en Condiciones 

10. Cambie la entrada de Condición de {URL} a {REQUEST_URI}

NOTA: Si necesita cambiar alguna regla, es mejor eliminarla y volver a crearla.

Impacto: no se conoce ningún efecto en la funcionalidad de Exchange si se instala la reescritura de URL como se recomienda. 

Recomendamos enfáticamente a los clientes de Exchange Server que deshabiliten el acceso remoto a PowerShell para usuarios que no sean administradores en su organización. La guía sobre cómo hacer esto para un solo usuario o múltiples usuarios está disponible aquí .  

Detección y caza avanzada

Para obtener orientación sobre la detección y la búsqueda avanzada, los clientes deben consultar Análisis de ataques mediante las vulnerabilidades de Exchange CVE-2022-41040 y CVE-2022-41082 .

 

Fuente: MicrosoftBlog

 

Comentarios

Publicar un comentario

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Imagen
Los fiscales estadounidenses se vieron obligados a dejar caer 11 casos de narcotráfico contra seis presuntos delincuentes, después de que se perdieron archivos de casos cruciales en una infección de ransomware en un departamento de policía de Florida. Es al menos séptimo incidente conocido de este tipo: investigaciones policiales se ven afectadas por una infección de ransomware que elimina la evidencia de las fuerzas del orden. La evidencia en los 11 casos no se pudo recuperar después de un ataque de ransomware que golpeó al departamento de policía de Stuart en abril de 2019. Si bien la policía de Stuart recuperó algunos datos de las copias de seguridad, algunos archivos no se pudieron recuperar. Los archivos perdidos incluyeron evidencia en fotos y videos , dijo el sargento detective Mike Gerwan del Departamento de Policía de Stuart a WPTV en una entrevista la semana pasada. Gerwan dijo que los casos retirados incluyen cargos por posesión de metanfetamina, posesión de
Leer más

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Imagen
Anteriormente escribimos un artículo donde mostramos la manera de acceder a un sistema operativo Windows 10 usando metasploit de manera local o remotamente, puedes leer el artículo aquí:  Accediendo remotamente a Windows 10 con Metasploit . Hoy les vamos a mostrar cómo ofuscar el código malicioso para que sea indetectable a los antivirus. Los entusiastas de seguridad siempre buscan exploits de día cero que pueden eludir con éxito las características de seguridad de sistemas cómo Windows 10. Se han llevado a cabo numerosas investigaciones para crear malware indetectable y proyectos completos de GitHub dedicados a automatizar la creación de payloads indetectables como WinPayloads , Veil v3 y TheFatRat . Todo lo que se explicará en esta guía se hace con fines explícitamente educativos y bajo un laboratorio propiedad de Security Hack Labs , los usos que se le puedan dar a este tutorial depende del usuario y es absolutamente responsabilidad del él los daños que
Leer más

Actualización de seguridad para VMWare Center

Imagen
  Fecha de publicación:   26/10/2023 Nivel de peligrosidad:   CRÍTICO El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación del aviso de seguridad  VMSA-2023-0023  por parte del fabricante  VMware , que corrige  una vulnerabilidad  de severidad  crítica    en su producto   VMware Center . La explotación exitosa de la vulnerabilidad indicada, descubierta por el investigador Grigory Dorodnov, permitiría a un atacante remoto  ejecutar código arbitrario   en el sistema de destino. La base de datos del   NIST   no ha registrado esta vulnerabilidad, por lo tanto, no se le ha asignado una puntuación de acuerdo a la escala   CVSSv3 . Asimismo, la vulnerabilidad ha sido catalogada por   VMware   como   crítica . Actualmente no se tiene conocimiento de reportes sobre actividad dañina en la red ni de la disponibilidad de exploits que aprovechen esta vulnerabilidad, así como tampoco, se han publicado pruebas de concepto (PoC) sobre los detalles del fallo reportado. Recursos afe
Leer más