Microsoft confirma 2 nuevas fallas de día cero de intercambio que se están utilizando en la naturaleza

Microsoft reveló oficialmente que investiga dos vulnerabilidades de seguridad de día cero que afectan a Exchange Server 2013, 2016 y 2019 luego de informes de explotación en estado salvaje.

“La primera vulnerabilidad, identificada como CVE-2022-41040es una falsificación de solicitud del lado del servidor (SSRF) vulnerabilidad, mientras que la segunda, identificada como CVE-2022-41082permite la ejecución remota de código (RCE) cuando el atacante puede acceder a PowerShell”, dijo el gigante tecnológico dijo.

La compañía también confirmó que está al tanto de los “ataques dirigidos limitados” que utilizan las fallas para obtener acceso inicial a los sistemas objetivo, pero enfatizó que se requiere acceso autenticado al servidor Exchange vulnerable para lograr una explotación exitosa.

Los ataques detallados por Microsoft muestran que las dos fallas están unidas en una cadena de explotación, con el error SSRF que permite que un adversario autenticado active de forma remota la ejecución de código arbitrario.

La compañía con sede en Redmond también confirmó que está trabajando en una “línea de tiempo acelerada” para impulsar una solución, al tiempo que instó a los clientes locales de Microsoft Exchange a agregar una regla de bloqueo en IIS Manager como una solución temporal para mitigar posibles amenazas.

Vale la pena señalar que los clientes de Microsoft Exchange Online no se ven afectados. Los pasos para agregar la regla de bloqueo son los siguientes:

1. Abra el Administrador de IIS
2. Expandir el sitio web predeterminado
3. Seleccione Detección automática
4. En la Vista de características, haga clic en Reescritura de URL
5. En el panel Acciones en el lado derecho, haga clic en Agregar reglas
6. Seleccione Solicitar bloqueo y haga clic en Aceptar
7. Agregue la cadena “.*autodiscover\.json.*\@.*Powershell.*” (excluyendo las comillas) y haga clic en Aceptar
8. Expanda la regla y seleccione la regla con el Patrón “.*autodiscover\.json.*\@.*Powershell.*” y haga clic en Editar en Condiciones
9. Cambie la entrada de condición de URL a REQUEST_URI