El viernes 30 de septiembre Microsoft confirmó la existencia de dos vulnerabilidades zero-day (CVE-2022-41040 y CVE-2022-41082) que están siendo utilizadas de forma conjunta en campañas que buscan lograr acceso a servidores de Microsoft Exchange y ejecutar código de manera remota en los sistemas comprometidos. Las mismas afectan a las versiones 2013, 2016 y 2019 de Microsoft Exchange Server.
El hallazgo de estas vulnerabilidades es responsabilidad de investigadores de la compañía GTSC, que hace tres semanas detectaron ataques a infraestructuras críticas en los que se estaban utilizando ambas vulnerabilidades y las reportaron al programa Zero Day Initiative.
Según detalla Microsoft, la CVE-2022-41040 es un tipo de vulnerabilidad del tipo Server Side Request Forgery (SSRF), mientras que la CVE-2022-41082 permite la ejecución remota de código (RCE) cuando PowerShell es accesible al atacante. Es importante tener en cuenta que para explotar exitosamente la vulnerabilidad el atacante necesita permisos de autenticación al servidor de Exchange.
Por su parte, el investigador Keavin Beaumont, que apodó a estas zero-day como ProxyNotShell, afirmó que comparten similitudes con una serie de vulnerabilidades críticas en Microsoft Exchange server conocidas como ProxyShell, las cuales luego de ser reportadas a comienzos de 2021 comenzaron a ser utilizadas por una gran cantidad de actores de amenazas en campañas a lo largo del mundo.
En el artículo publicado el 29 de septiembre por GTSC y que ha sido actualizado, la compañía explica los detalles y comparte medidas de contención temporales dirigidas a organizaciones que utilizan para su sistema de correo Exchange, mientras Microsoft lanza un parche.
Asimismo, Microsoft en otro artículo compartió un análisis de los ataques que se han detectado (hasta ahora) explotando estas vulnerabilidades y reveló que los mismos han comenzado con una solicitud maliciosa enviada al puerto 443 para luego explotar en cadena ambas vulnerabilidades, permitiendo a los atacantes realizar tareas de reconocimiento, movimiento lateral y exfiltración de datos.
Mitigación para ProxyNotShell
Por su parte, Microsoft publicó un artículo en el que comparte formas de mitigación para ambas zero-day en Exchange y recomienda deshabilitar el acceso remoto a PowerShell para usuarios que no cuenten con permisos de administrador dentro de la organización. Sin embargo, investigadores en Twitter han advertido que esta mitigación proporcionada por Microsoft no es suficiente para servidores on premise y puede ser eludida con facilidad por un atacante. Por su parte, el analista Will Dorman comparte esta opinión y la considera la mitigación insuficiente.
Tal como explica un artículo de BleepingComputer, el comunicado de Microsoft comparte información sobre cómo mitigar estas vulnerabilidades para clientes que utilizan servidores Exchange on premise, mientras que los clientes que utilizan Exchange online no tienen que realizar ninguna acción; sin embargo, muchas organizaciones utilizan un sistema híbrido, lo cual hace que sean vulnerables. Beaumont explicó que existen muchas organizaciones que tienen configurado Exchange bajo un sistema híbrido y que actualmente según Shodan hay más de 1.200 organizaciones que utilizan este modelo.
En la publicación de GTSC la compañía compartió una herramienta para verificar si sus servidores de Exchange han sido comprometidos por la explotación de esta vulnerabilidad, mientras que la comunidad ya comenzó a publicar herramientas para escanear en busca de servidores de Exchange vulnerables a ProxyNotShell.
Falsos exploits a la venta en GitHub
Otra noticia que surgió en las últimas horas y que en parte da cuenta del impacto que tienen estas zero-day es el hecho de que hay actores maliciosos se hacen pasar por investigadores en seguridad y aprovechan el interés generado para ofrecer a la venta falsos exploits de ProxyNotShell en GitHub. Según reportó un investigador en seguridad en Twitter, ya se eliminaron cinco cuentas. Lo que están haciendo los estafadores lo que hacen es llevar a las potenciales víctimas a una página desde la cual pueden “comprar” el falso exploit en Bitcoin por montos que incluso superan los 400.000 dólares.
Al momento de escribir este artículo Microsoft aún no lanzó un parche para reparar estas vulnerabilidades.