Los investigadores de seguridad advierten sobre fallas no reveladas previamente en servidores de Microsoft Exchange completamente parcheados que est\u00e1n siendo explotados por actores malintencionados en ataques del mundo real para lograr la ejecuci\u00f3n remota de c\u00f3digo en los sistemas afectados.<\/p>\n
Eso es seg\u00fan la compa\u00f1\u00eda vietnamita de ciberseguridad GTSC, que descubri\u00f3 las deficiencias como parte de sus esfuerzos de monitoreo de seguridad y respuesta a incidentes en agosto de 2022.<\/p>\n
Las dos vulnerabilidades, a las que a\u00fan no se les han asignado identificadores CVE formalmente, est\u00e1n siendo rastreado<\/a> por Zero Day Initiative como ZDI-CAN-18333<\/strong> (puntuaci\u00f3n CVSS: 8,8) y ZDI-CAN-18802<\/strong> (puntuaci\u00f3n CVSS: 6,3).<\/p>\n GTSC dijo que se podr\u00eda abusar de la explotaci\u00f3n exitosa de las fallas para afianzarse en los sistemas de la v\u00edctima, lo que permitir\u00eda a los adversarios lanzar caparazones web y realizar movimientos laterales a trav\u00e9s de la red comprometida.<\/p>\n “Detectamos webshells, en su mayor\u00eda ofuscados, que ca\u00edan en los servidores de Exchange”, dijo la empresa. se\u00f1alado<\/a>. “Usando el agente de usuario, detectamos que el atacante usa Antsword, una herramienta activa de administraci\u00f3n de sitios web multiplataforma de c\u00f3digo abierto basada en chino que admite la administraci\u00f3n de shell web”.<\/p>\n Se dice que las solicitudes de explotaci\u00f3n en los registros de IIS aparecen en el mismo formato que las vulnerabilidades de ProxyShell Exchange Server, y GTSC se\u00f1al\u00f3 que los servidores objetivo ya hab\u00edan sido reparados contra las fallas que salieron a la luz en marzo de 2021.<\/p>\n La compa\u00f1\u00eda de seguridad cibern\u00e9tica teoriz\u00f3 que los ataques probablemente se originaron en un grupo de piratas inform\u00e1ticos chino debido a la codificaci\u00f3n del shell web en chino simplificado (P\u00e1gina de c\u00f3digos de Windows 936<\/a>).<\/p>\n Tambi\u00e9n se implement\u00f3 en los ataques el shell web de China Chopper, una puerta trasera liviana que puede otorgar acceso remoto persistente y permitir que los atacantes se vuelvan a conectar en cualquier momento para una mayor explotaci\u00f3n.<\/p>\n Vale la pena se\u00f1alar que el C\u00e1scara web de China Chopper<\/a> tambi\u00e9n fue desplegado por Hafnium, un presunto grupo patrocinado por el estado que opera fuera de China, cuando las vulnerabilidades de ProxyShell fueron objeto de una explotaci\u00f3n generalizada el a\u00f1o pasado.<\/p>\n Otras actividades posteriores a la explotaci\u00f3n observadas por GTSC implican la inyecci\u00f3n de archivos DLL maliciosos en la memoria, soltar y ejecutar cargas \u00fatiles adicionales en los servidores infectados mediante la l\u00ednea de comandos de WMI (WMIC<\/a>) utilidad.<\/p>\n La compa\u00f1\u00eda dijo que al menos m\u00e1s de una organizaci\u00f3n ha sido v\u00edctima de una campa\u00f1a de ataque que aprovecha las fallas de d\u00eda cero. Se han ocultado detalles adicionales sobre los errores a la luz de la explotaci\u00f3n activa.<\/p>\n Nos comunicamos con Microsoft para obtener m\u00e1s comentarios y actualizaremos la historia si recibimos una respuesta.<\/p>\n Mientras tanto, como soluciones temporales, se recomienda agregar una regla para bloquear solicitudes con indicadores de compromiso mediante el M\u00f3dulo de regla de reescritura de URL<\/a> para servidores IIS –<\/p>\n “Puedo confirmar que un n\u00famero significativo de servidores de Exchange han sido respaldados, incluido un honeypot”, dijo el investigador de seguridad Kevin Beaumont en una serie de tuits, y agreg\u00f3 que “parece una variante de proxy a la interfaz de administraci\u00f3n nuevamente”.<\/p>\n “Si no ejecuta Microsoft Exchange en sus instalaciones y no tiene Outlook Web App frente a Internet, no se ver\u00e1 afectado”, Beaumont dijo<\/a>.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"Microsoft](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1664521712_231_ADVERTENCIA-Nuevo-Microsoft-Exchange-Zero-Day-sin-parches-bajo-explotacion-activa.jpg\" "\\"Microsoft")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n\n