Microsoft ha confirmado que los ciberdelincuentes están explotando activamente dos vulnerabilidades de Día Cero que la compañía descubrió recientemente en Exchange Server 2013, 2016 y 2019.
La primera vulnerabilidad, identificada como CVE-2022-41040, es una vulnerabilidad de falsificación de solicitud de servidor (SSRF), mientras que la segunda, denominada CVE-2022-41082, permite la ejecución remota de código (RCE) cuando PowerShell está accesible para los atacantes.
Desde la firma de Redmond están al corriente de la existencia de ataques dirigidos limitados que utilizan las dos vulnerabilidades para acceder a los sistemas de los usuarios. No obstante, respecto al primero de estos dos fallos, la compañía apunta que solo puede ser explotado por atacantes autenticados.
Además, Microsoft ha manifestado que los clientes de Exchange Online no necesitan tomar ninguna medida en este momento porque la empresa cuenta con sistemas de detección y mitigación para proteger a los clientes.
Asimismo, también destacan que la firma «está monitorizando estas detecciones ya implementadas en busca de actividad maliciosa y tomará las medidas de respuesta necesarias para proteger a los clientes. […] Estamos trabajando en una línea de tiempo acelerada para lanzar una solución».
El equipo de ciberseguridad GTSC ha sido el primero en informar sobre los ataques de Día Cero que se están produciendo aprovechando estas vulnerabilidades para robar datos y moverse lateralmente a través de las redes de las víctimas.
No obstante, estos expertos también han apuntado sus sospechas de que un grupo de ciberdelincuentes de origen chino podría estar detrás de estos ataques.
Consejos de Microsoft para mitigar las vulnerabilidades en Exchange
Ante la explotación de estas dos vulnerabilidades, desde Microsoft trabajan en informar a sus clientes y en mitigar el impacto que pueden ocasionar. Para ello ha advertido a sus clientes de Microsoft Exchange que revisen y apliquen una serie de instrucciones de reescritura de URL y bloquear los puertos remotos de PowerShell expuestos.
«La mitigación actual consiste en añadir una regla de bloqueo en «Administrador de IIS -> Sitio web predeterminado -> Detección automática -> Reescritura de URL -> Acciones» para bloquear los patrones de ataque conocidos», ha publicado la compañía.
Para aplicar la mitigación a servidores vulnerables, la firma apunta que se deben realizar los siguientes pasos. En primer lugar, abrir el Administrador de IIS. Ampliar el sitio web predeterminado y seleccionar la opción ‘Detección automática’.
A continuación, en ‘Vista de características’, hacer clic en ‘Reescritura de URL’ y, seguidamente, en el panel de ‘Acciones’ que aparece a la derecha, hacer clic en ‘Añadir reglas’. Una vez en esta opción, hay que seleccionar la opción ‘Solicitar bloqueo’ y aceptar.
Cuando se ha llegado a este punto, hay que añadir la siguiente cadena “.*autodiscover\.json.*\@.*Powershell.*” (excluyendo las comillas) y hacer clic en ‘ Aceptar’.
A continuación, hay que ampliar la regla con el patrón «.*autodiscover\.json.*\@.*Powershell.*» y haga clic en la opción de editar en ‘Condiciones’. Una vez hecho esto, hay que cambiar la entrada de condición de {URL} a {REQUEST_URI}.
Los actores de amenazas también pueden obtener acceso a PowerShell Remoting en servidores Exchange expuestos y vulnerables para la ejecución remota de código a través de la explotación CVE-2022-41082. Por eso, Microsoft también aconseja a los administradores que bloqueen los puertos remotos de PowerShell HTTP: 5985 y HTTPS: 5986 para obstaculizar los ataques.