Otra ejecución remota de código en MS-Exchange
Una vez más, dos vulnerabilidades graves afectan a Exchange Server de Microsoft: Con una gravedad de 8,8 y 6,3 en el Common Vulnerability Score System, las vulnerabilidades no parcheadas anteriormente (CVE-2022-41040 y CVE-2022-41082), son una amenaza para todos los servidores que dependen del sistema de correo de Microsoft.
Dado que ahora también están siendo explotadas activamente por los atacantes, los administradores afectados deben asegurarse de aplicar inmediatamente la solución alternativa del blog de Microsofts hasta que el fabricante haya corregido el problema. Las vulnerabilidades ya fueron descubiertas a finales de septiembre por la empresa de seguridad GTSC, aún está pendiente un parche por parte de Microsoft.
Afectados: Exchange 2013, 2016 y 2019
Están afectadas todas las instalaciones locales de Microsoft Exchange Server versiones 2013, 2016 y 2019, incluidos los servidores totalmente parcheados y en buen estado. Los clientes y productos de grommunio no están afectados por esta vulnerabilidad.
Según admite el proveedor, el fallo (aquí está el informe BSI constantemente actualizado) permite la “ejecución remota de código para cuentas autenticadas”, es decir, la ejecución de código arbitrario a través de cuentas de usuario. La solución recomendada aconseja encarecidamente a todos los clientes locales de Microsoft que deshabiliten el acceso remoto a Powershell (la línea de comandos del sistema Windows) para los usuarios sin privilegios. Esta es actualmente la única manera de evitar que los atacantes abusen de estas cuentas y causen graves daños al servidor o a la red local.
Las medidas iniciales de Microsoft son insuficientes
Los expertos en seguridad siguen investigando el problema y comparten sus conclusiones principalmente en Twitter. El hashtag asociado es #proxynotshell, en referencia a otros incidentes de seguridad en Exchange de 2021. El consejo que adoptaron el BSI y Microsoft de “bloquear” a todos los usuarios sin privilegios de Powershell también llegó a través de Twitter, después de que la mitigación propuesta inicialmente por Microsoft verificablemente no condujera al éxito.
Pruebe grommunio en su propio servidor de forma gratuita.
Actualización
12. Octubre: En contra de lo esperado, Microsoft no proporcionó un parche para la vulnerabilidad en su último patchday (el 11 de octubre). Tras las problemáticas soluciones provisionales y después de que los piratas informáticos ya estén explotando activamente las vulnerabilidades, Microsoft se enfrenta ahora a agujeros de seguridad más graves en Windows, Hyper-V y Office. El blog post of Microsoft’s Security Response Center es actualizado continuamente por la compañía estadounidense, la última entrada es del 9 de octubre.
