Fecha de publicación: 30/09/2022
Nivel de peligrosidad: CRÍTICO
El CCN-CERT, del Centro Criptológico Nacional, alerta de la detección de dos vulnerabilidades zero-day, catalogadas como CVE-2022-41040 y CVE-2022-41082, que afectan a Microsoft Exchange Server 2013, 2016 y 2019. Dichas vulnerabilidades estarían siendo utilizadas por actores de amenazas para compremeter servidores vulnerables.
Los expertos revelaron que las solicitudes utilizadas en esta cadena de explotación son similares a las utilizadas en los ataques dirigidos a las vulnerabilidades de ProxyShell, por lo que se las conoce como ProxyNotShell.
La vulnerabilidad CVE-2022-41040 es de tipo Server Side Request Forgery (SSRF), mientras que la segunda, identificada como CVE-2022-41082 permite la ejecución remota de código (RCE). Para que la explotación sea exitosa es necesario disponer de credenciales válidas para el acceso al servidor Exchange vulnerable.
La base de datos del NIST aún ha registrado las vulnerabilidades descritas anteriormente, por lo que todavía no cuentan con una valoración según asignando la escala CVSSv3. Sin embargo, el fabricante ha identificado las vulnerabilidades con los CVE-2022-41040 y CVE-2022-41082, y les ha otorgado una severidad crítica.
Recursos afectados
Microsoft Exchange Server versiones: 2013, 2016 y 2019.
Solución a las vulnerabilidades
Microsoft ha publicado un aviso donde indica que bloquear los puertos remotos de PowerShell (HTTP: 5985 y HTTPS: 5986) puede limitar la explotación de la vulnerabilidad. También indica una posible mitigación, consistente en agregar una regla de bloqueo para bloquear los patrones de ataque conocidos.
Recomendaciones
Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen las medidas alternativas expuestas por Microsoft, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Atentamente,
Equipo CCN-CERT