Los fallos de día cero de Microsoft Exchange dejan al descubierto 22.000 servidores
Microsoft ha anunciado que dos vulnerabilidades críticas de su aplicación Exchange están siendo explotadas por atacantes. La empresa también ha explicado que están afectados más de 22.000 servidores en todo el mundo.
"En este momento, Microsoft tiene conocimiento de ataques dirigidos limitados que utilizan las dos vulnerabilidades para entrar en los sistemas de los usuarios. En estos ataques, CVE-2022-41040 puede permitir a un atacante autenticado activar remotamente CVE-2022-41082", escribieron los miembros del equipo del Centro de Respuesta de Seguridad de Microsoft.
Las nuevas vulnerabilidades incluyen CVE-2022-41040, una vulnerabilidad de falsificación de peticiones del lado del servidor, y CVE-2022-41082, que permite la ejecución remota de código cuando PowerShell es accesible al atacante.
La vulnerabilidad afecta a los servidores Exchange locales y no al servicio Microsoft Exchange. Sin embargo, muchas empresas utilizan la oferta en la nube de Microsoft con una oferta que utiliza una mezcla de hardware local y en la nube.
Según o GSTC, los atacantes aprovechan el día cero para infectar servidores con webshells, una interfaz de texto que les permite emitir comandos. Las webshells de la empresa contienen caracteres chinos simplificados, lo que sugiere que los hackers hablan chino con fluidez.
Los comandos emitidos también llevan la firma de China Chopper, un webshell utilizado habitualmente por los actores de amenazas de habla china, incluidos los grupos de amenazas persistentes avanzadas apoyados por la República Popular China.
El malware instalado emula el servicio web Exchange de Microsoft y también se conecta a la dirección IP 137[.]184[.]67[.]33, que está cifrada de forma binaria.
A continuación, el malware envía y recibe datos cifrados con una clave de cifrado RC4, que se genera en tiempo de ejecución.
Se recomienda a todas las personas que utilicen servidores Exchange locales que tomen medidas inmediatas aplicando una regla de bloqueo que impida que los servidores acepten patrones de ataque conocidos. La regla puede aplicarse accediendo a 'Administrador de IIS > Sitio web predeterminado > Reescritura de URL > Acciones".
Microsoft también recomienda que los usuarios bloqueen el puerto HTTP 5986, que los atacantes deben explotar para utilizar CVE-2022-41082. Es importante que las empresas adopten otras medidas de seguridad para evitar que sus servidores sean explotados por atacantes.
Las fuentes de este artículo incluyen un artículo en ArsTechnica.