Microsoft ha confirmado que dos vulnerabilidades de día cero de Exchange Server no parcheadas están siendo explotadas por los ciberdelincuentes en ataques del mundo real.
La empresa vietnamita de ciberseguridad GTSC, que descubrió por primera vez los fallos como parte de su respuesta a un incidente de ciberseguridad de un cliente, en agosto de 2022, dijo que los dos días cero se han utilizado en ataques a los entornos de sus clientes que se remontan a principios de agosto de 2022.
El Centro de Respuesta de Seguridad de Microsoft (MRSC) dijo en una entrada de blog a última hora del jueves que las dos vulnerabilidades fueron identificadas como CVE-2022-41040, una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF), mientras que la segunda, identificada como CVE-2022-41082, permite la ejecución remota de código en un servidor vulnerable cuando PowerShell es accesible para el atacante.
Microsoft señaló que un atacante necesitaría un acceso autenticado al Exchange Server vulnerable, como credenciales robadas, para explotar con éxito cualquiera de las dos vulnerabilidades, que afectan a los Microsoft Exchange Server 2013, 2016 y 2019 locales.
Microsoft no ha compartido más detalles sobre los ataques y declinó responder a nuestras preguntas. La firma de seguridad Trend Micro dio a las dos vulnerabilidades calificaciones de gravedad de 8,8 y 6,3 sobre 10.
Sin embargo, GTSC informa que los ciberdelincuentes encadenaron las dos vulnerabilidades para crear puertas traseras en el sistema de la víctima y también moverse lateralmente a través de la red comprometida. “Después de dominar con éxito el exploit, se registraron los ataques para recopilar información y crear un punto de apoyo en el sistema de la víctima”, dijo GTSC.
GTSC dijo que sospecha que un grupo de amenazas chino puede ser responsable de los ataques en curso porque la codificación webshell utiliza la codificación de caracteres para el chino simplificado. Los atacantes también han desplegado la webshell China Chopper en los ataques para el acceso remoto persistente, que es una puerta trasera comúnmente utilizada por los grupos de piratas informáticos, patrocinados por el Estado chino.
El investigador de seguridad Kevin Beaumont, que fue uno de los primeros en hablar de los hallazgos de GTSC en una serie de tweets el jueves, dijo que es consciente de que la vulnerabilidad está siendo “explotada activamente en la naturaleza” y que “puede confirmar que un número significativo de servidores de Exchange han sido backdokeados.”
Microsoft se negó a decir cuándo estarán disponibles los parches, pero señaló en su blog que la próxima corrección está en una “línea de tiempo acelerada”.
Hasta entonces, la empresa recomienda a los clientes que sigan las medidas de mitigación temporales compartidas por GTSC, que implican la adición de una regla de bloqueo en IIS Manager. La compañía señaló que los clientes de Exchange Online no necesitan tomar ninguna medida por el momento.