Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
Investigadores de seguridad informática advierten sobre fallos de seguridad tipo zero-day en servidores Microsotf Exchange Server completamente parchados. Las vulnerabilidades identificadas como CVE-2022-41040 y CVE-2022-41082 están siendo explotadas por actores malintencionados para lograr ejecución remota de código.
La vulnerabilidad CVE-2022-41040 es de tipo Server Side Request Forgery (SSRF), mientras que la segunda, identificada como CVE-2022-41082 permite la ejecución remota de código (RCE). Para que la explotación sea exitosa es necesario disponer de credenciales válidas para el acceso al servidor Exchange vulnerable
Recursos afectados
- Microsoft Exchange Server: 2013, 2016 y 2019.
Mitigación
Microsoft rebelo que ha realizado mejoras en el método de mitigación evitando intentos de fallas de explotación contra la falla de seguridad, con este fin Microstf reviso la rela de bloque en IIS Manager de:
".*autodiscover\.json.*Powershell.*" a "(?=.*autodiscover\.json)(?=.*powershell)".
La lista de pasos actualizados para agregar la regla de reescritura de URL se describe a contibuación:
- Abrir el administrador de IIS.
- Seleccionar el sitio web predeterminado.
- En el Actions panel de la derecha, haga clic en Add Rule(s).
- Seleccione Request Blocking y haga clic en OK.
- Añada la cadena «.autodiscover.json.Powershell.*» (sin las comillas).
- Seleccione la Regular Expression en uso.
- Seleccione Abort Request en How to block y en OK.
- Expanda la regla y seleccione la regla con la cadena: .*autodiscover\.json.*Powershell.* y haga click en Edit under Conditions.
- Cambie la Condition input de {URL} en {UrlDecode:{REQUEST_URI}} y haga click en OK.
Indicadores de compromiso
Los investigadores publicaron indicadores de compromiso que se observaron en la explotación de las vulnerabilidades:
Nombre de archivo: pxh4HG1v.ashx
- Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1
- Ruta: C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx
Nombre de archivo: RedirSuiteServiceProxy.aspx
- Hash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5
- Ruta: C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx
Nombre de archivo: RedirSuiteServiceProxy.aspx
- Hash (SHA256): b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca
- Ruta: C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx
Nombre de archivo: Xml.ashx
- Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1
- Ruta: Xml.ashx
Nombre de archivo : errorEE.aspx
- SHA256 : be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257
- Ruta: C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx
Nombre del archivo : 180000000.dll
- SHA256 : 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e
IPs:
- 125[.]212[.]220[.]48
- 5[.]180[.]61[.]17
- 47[.]242[.]39[.]92
- 61[.]244[.]94[.]85
- 86[.]48[.]6[.]69
- 86[.]48[.]12[.]64
- 94[.]140[.]8[.]48
- 94[.]140[.]8[.]113
- 103[.]9[.]76[.]208
- 103[.]9[.]76[.]211
- 104[.]244[.]79[.]6
- 112[.]118[.]48[.]186
- 122[.]155[.]174[.]188
- 125[.]212[.]241[.]134
- 185[.]220[.]101[.]182
- 194[.]150[.]167[.]88
- 212[.]119[.]34[.]11
URL:
- hxxp://206[.]188[.]196[.]77:8080/themes.aspx
C2:
- 137[.]184[.]67[.]33
Recomendaciones
Alternativamente los usuarios pueden lograr las protecciones deseadas mediante la ejecución de una herramienta de mitigación local de Exchange basada en PowerShell (EOMTv2.ps1), que también se ha actualizado para tener en cuenta el patrón de URL mencionado anteriormente.
Cabe destacar que los problemas explotados activamente aún no han sido solucionados por Microsotf, PorxyNotShell CVE-2022-41040 y CVE-2022-41082.
Actualización: Microsoft actualizo una corrección en la cadena de la URL: "(?=.*autodiscover)(?=.*powershell)" que se agregará a la regla de bloque de el Administrador de IIS para prevenir intentos de explotación.