Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

[Actualización 22/12/2022] Vulnerabilidades 0day en Microsoft Exchange Server

Fecha de publicación 30/09/2022
Identificador

INCIBE-2022-0947

Importancia
5 - Crítica
Recursos Afectados

Microsoft Exchange Server, versiones 2013, 2016 y 2019.

Para ayudar a las organizaciones a comprobar si sus servidores Exchange han sido explotados por este fallo, GTSC ha publicado una guía y una herramienta para escanear los archivos de registro de IIS:

  • Ejecutar el comando de PowerShell:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200
  • Utilizar la herramienta NCSE0Scanner desarrollada por GTSC.

Descripción
Solución

Microsoft está desarrollando una solución. Hasta entonces, ha proporcionado las siguientes medidas de mitigación y detección para ayudar a sus clientes a protegerse de estos ataques:

  • Si no se ejecuta Microsoft Exchange on premise y no se tiene Outlook Web App con acceso a Internet, no se verá afectado.
  • Los clientes de Microsoft Exchange Online no necesitan tomar ninguna medida. Los clientes con instalaciones de Microsoft Exchange deben revisar y aplicar las siguientes instrucciones de reescritura de URL y bloquear los puertos expuestos de Remote PowerShell, añadiendo la siguiente regla de bloqueo:
IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions
  • El bloqueo de los puertos utilizados para Remote PowerShell puede limitar estos ataques.
    • HTTP: 5985;
    • HTTPS: 5986.
  • Microsoft ha confirmado que una serie de instrucciones de reescritura de URL consiguen romper las cadenas de ataque actuales. Estas instrucciones aparecen listadas, paso a paso, en la sección Mitigations del post publicado por Microsoft.
Detalle
  • Esta vulnerabilidad, de tipo Server-Side Request Forgery (SSRF), solo puede ser explotada por atacantes autenticados. Se ha asignado el identificador CVE-2022-41040 para esta vulnerabilidad.
  • Los atacantes podrían acceder a PowerShell Remoting en servidores Exchange expuestos y vulnerables para la ejecución remota de código (RCE) a través esta vulnerabilidad. Se ha asignado el identificador CVE-2022-41082 para esta vulnerabilidad.

En este momento, Microsoft es consciente de limitados ataques dirigidos que explotan estas 2 vulnerabilidades para entrar en los sistemas de los usuarios. En estos ataques CVE-2022-41040 un atacante autenticado podría activar remotamente CVE-2022-41082. Hay que tener en cuenta que es necesario el acceso autenticado al Exchange Server vulnerable para explotar con éxito cualquiera de las 2 vulnerabilidades.

La investigación de GTSC Cyber Security incluye una serie de indicadores de compromiso (IOCs) en su publicación.

Encuesta valoración