Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
EL nuevo método pasa por alto las mitigaciones que Microsoft había proporcionado para la cadena de exploits, lo que significa que las organizaciones que aún no han aplicado el parche deben hacerlo de inmediato.
La vulnerabilidad RCE en cuestión (CVE-2022-41082) es uno de los dos llamados defectos de ProxyNotShell en Exchange Server versiones 2013, 2016 y 2019, que la empresa de seguridad vietnamita GTSC reveló públicamente en noviembre después de observar que un actor de amenazas las explotaba. La otra falla de ProxyNotShell, rastreada como CVE-2022-41040 es un error de falsificación de solicitud del lado del servidor (SSRF) que brinda a los atacantes una forma de elevar los privilegios en un sistema comprometido.
En el ataque que informó GTSC, el actor de amenazas utilizó la vulnerabilidad CVE-2022-41040 SSRF para acceder al servicio Remote PowerShell y lo usó para activar la falla RCE en los sistemas afectados. En respuesta, Microsoft recomendó a las organizaciones aplicar una regla de bloqueo para evitar que los atacantes accedan al servicio remoto de PowerShell. La empresa afirmó que la regla de bloqueo ayudaría a prevenir patrones de explotación conocidos contra las vulnerabilidades de ProxyNotShell.
Esta semana, investigadores en CrowdStrike dijeron que habían observado a los actores de amenazas detrás del ransomware Play, usar un nuevo método para explotar CVE-2022-41082 que elude la medida de mitigación de Microsoft para ProxyNotShell.
El método implica que el atacante explote otro error de SSRF, y poco conocido en el servidor de Exchange rastreado como CVE-2022-41080, falla que permite acceder al servicio remoto de PowerShell a través del front-end de Outlook Web Access (OWA), en lugar del extremo de detección automática. Microsoft ha asignado al error la misma calificación de gravedad (8.8) que tiene para el error SSRF en la cadena de explotación ProxyNotShell original.
Debido a que la mitigación de ProxyNotShell de Microsoft solo bloquea las solicitudes realizadas al punto final de detección automática en el servidor de Microsoft Exchange, las solicitudes para acceder al servicio remoto de PowerShell a través del front-end de OWA no se bloquearán, explicó el proveedor de seguridad.
CrowdStrike ha bautizado la nueva cadena de exploits que involucra a CVE-2022-41080 y CVE-2022-41082 como OWASSRF.
Recursos afectados
Los productos afectados son:
- Exchange Server 2013
- Exchange Server 2016
- Exchange Server 2019
Solución
Aplicar el parche del 8 de noviembre de 2022 KB5019758 .
Recomendaciones
Aplicar los parches del 8 de noviembre de 2022 para Exchange para evitar la explotación, ya que las mitigaciones de reescritura de URL para ProxyNotShell no son efectivas contra este método de explotación. En caso de no poder aplicar el parche inmediatamente debe deshabilitar OWA hasta que se pueda aplicar el parche.
Referencias
Hackers eluden las mitigaciones de MS Exchange ProxyNotShell