ACTUALIZACIÓN DE SEGURIDAD PARA VULNERABILIDADADES DE MICROSOFT EXCHANGE

19/11/2022

BOLETÍN NRO 2022-681

Recientemente se ha publicado un código de explotación de prueba para dos vulnerabilidades de alta gravedad y explotadas activamente en Microsoft Exchange, conocidas como ProxyNotShell.

Servicios Afectados

• Microsoft Exchange Server 2013
• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019

Detalles Tecnicos

CVE: CVE-2022-41040, CVE-2022-41082                                     Severidad:   ALTA

Rastreadas como CVE-2022-41082 y CVE-2022-41040, las dos vulnerabilidades permiten a los atacantes aumentar los privilegios para ejecutar PowerShell en el contexto del sistema y obtener la ejecución de código arbitrario o remoto en servidores comprometidos.

Microsoft lanzó actualizaciones de seguridad para abordar las dos vulnerabilidades, a pesar de que se han detectado ataques ProxyNotShell desde al menos septiembre de 2022.

Una semana después de que Microsoft lanzara las actualizaciones de seguridad de ProxyNotShell, el investigador de seguridad Janggggg lanzó el exploit de prueba de concepto (PoC) que los atacantes han usado para los servidores Exchange de backdoor.

Will Dormann, analista de vulnerabilidades, probó el exploit y confirmó que funciona en sistemas que ejecutan Exchange Server 2016 y 2019, y agregó que el código necesita algunos ajustes para que funcione cuando se dirige a Exchange Server 2013).

Los atacantes han estado encadenando las dos vulnerabilidades para implementar shells web chinas de Chopper en servidores comprometidos para la persistencia y el robo de datos, así como para el movimiento lateral en las redes de sus víctimas  desde al menos septiembre de 2022.

"Estas vulnerabilidades afectan a Exchange Server. Los clientes de Exchange Online ya están protegidos contra las vulnerabilidades abordadas en estas SU y no necesitan realizar ninguna acción más que actualizar los servidores de Exchange en su entorno".

Indicadores de Compromiso

IP

188[.]68[.]61[.]6

142[.]44[.]137[.]77

64[.]27[.]27[.]239

46[.]253[.]45[.]22

193[.]29[.]15[.]70

146[.]0[.]77[.]38

185[.]130[.]224[.]57

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Aplicar las actualizaciones de seguridad de Exchange Server, según lo recomendado por Microsoft.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Exploit released for actively abused ProxyNotShell Exchange bug
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​