Guía para el cliente sobre vulnerabilidades de día cero notificadas en Microsoft Exchange Server

Actualizaciones del 2 de octubre de 2022:

Actualizaciones del 30 de septiembre de 2022:

  • Se agregó un vínculo al blog de seguridad de Microsoft en Resumen.
  • Microsoft creó un script para los pasos de mitigación de reescritura de URL y modificó el paso 6 en la sección Mitigaciones.
  • Microsoft lanzó la mitigación del Servicio de mitigación de emergencia de Exchange (EEMS) para este problema. Más información está en la sección Mitigaciones. 
  • Guía de interfaz de exploración antimalware (AMSI) y auditoría de exclusiones de AV para optimizar la detección y el bloqueo de la explotación de vulnerabilidades de Exchange en la sección Detección.
  • Consultas de búsqueda de Microsoft Sentinel en la sección Detección.

Resumen

Microsoft está investigando dos vulnerabilidades de día cero informadas que afectan a Microsoft Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019. La primera, identificada como CVE-2022-41040 , es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) y la el segundo, identificado como CVE-2022-41082 , permite la ejecución remota de código (RCE) cuando el atacante puede acceder a PowerShell.  

Actualmente, Microsoft tiene conocimiento de ataques dirigidos limitados que utilizan estas dos vulnerabilidades. En estos ataques, CVE-2022-41040 puede permitir que un atacante autenticado active de forma remota CVE-2022-41082 . Cabe señalar que el acceso autenticado al servidor Exchange vulnerable es necesario para explotar con éxito cualquiera de las vulnerabilidades.

Estamos trabajando en una línea de tiempo acelerada para lanzar una solución. Hasta entonces, proporcionamos mitigaciones y la guía de detecciones a continuación para ayudar a los clientes a protegerse de estos ataques. 

Microsoft Exchange Online tiene detecciones y mitigaciones para proteger a los clientes. Como siempre, Microsoft está supervisando estas detecciones en busca de actividad maliciosa y responderemos en consecuencia si es necesario para proteger a los clientes.

Los equipos de Microsoft Security Threat Intelligence han proporcionado un análisis más detallado de la actividad observada junto con una guía de mitigación y detección en un nuevo blog de Microsoft Security .

También continuaremos brindando actualizaciones aquí para ayudar a mantener informados a los clientes. 

Mitigaciones

Los clientes de Exchange Online no necesitan realizar ninguna acción.

La mitigación actual de Exchange Server consiste en agregar una regla de bloqueo en "Administrador de IIS -> Sitio web predeterminado -> Reescritura de URL -> Acciones" para bloquear los patrones de ataque conocidos. Los clientes de Exchange Server deben revisar y elegir solo una de las siguientes tres opciones de mitigación.

Opción 1: para los clientes que tienen habilitado el Servicio de mitigación de emergencia de Exchange (EEMS), Microsoft lanzó la mitigación de reescritura de URL para Exchange Server 2016 y Exchange Server 2019. La mitigación se habilitará automáticamente. Consulte esta publicación de blog para obtener más información sobre este servicio y cómo verificar las mitigaciones activas.

Opción 2: Microsoft creó el siguiente script para los pasos de mitigación de reescritura de URL. https://aka.ms/EOMTv2 

Opción 3: los clientes pueden seguir las instrucciones a continuación, que actualmente se están discutiendo públicamente y logran romper las cadenas de ataque actuales. 

1. Abra el Administrador de IIS. 
2. Seleccione Sitio web predeterminado.
3. En la Vista de funciones, haga clic en Reescritura de URL.

4. En el panel Acciones del lado derecho, haga clic en Agregar regla(s)...  

5. Seleccione Solicitud de bloqueo y haga clic en Aceptar. 

6. Agregue la cadena “ .*autodiscover\.json.*\@.*Powershell.* ” (sin incluir las comillas).
7. Seleccione Expresión regular en Uso .
8. Seleccione Cancelar solicitud en Cómo bloquear y luego haga clic en Aceptar.

9. Expanda la regla y seleccione la regla con el patrón .*autodiscover\.json.*\@.*Powershell.* y haga clic en Editar en Condiciones 

10. Cambie la entrada de Condición de {URL} a {REQUEST_URI}

NOTA: Si necesita cambiar alguna regla, es mejor eliminarla y volver a crearla.

Impacto: no se conoce ningún efecto en la funcionalidad de Exchange si se instala la reescritura de URL como se recomienda. 

Recomendamos enfáticamente a los clientes de Exchange Server que deshabiliten el acceso remoto a PowerShell para usuarios que no sean administradores en su organización. La guía sobre cómo hacer esto para un solo usuario o múltiples usuarios está disponible aquí .  

Detección y caza avanzada

Para obtener orientación sobre la detección y la búsqueda avanzada, los clientes deben consultar Análisis de ataques mediante las vulnerabilidades de Exchange CVE-2022-41040 y CVE-2022-41082 .

 

Fuente: MicrosoftBlog

 

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos