Vulnerabilidad zero-day permite ataques activos a exchange

Recuerde esto la próxima vez que Microsoft hable sobre la seriedad con la que se toma la seguridad.

Los investigadores de seguridad advirtieron que se está explotando activamente una falla de día cero en el servidor Exchange de Microsoft.

Una empresa de seguridad de la información vietnamita llamada GTSC parece haber identificado la falla con una publicación que explica cómo un par de fallas permiten la ejecución remota de código en las instalaciones de Exchange.

La compañía informó sus hallazgos a Zero Day Initiative, que asignó el código ZDI-CAN-18333 a una falla calificada con 8.8 en la escala de diez puntos del Sistema de puntuación de vulnerabilidad común (CVSS). Un segundo defecto, ZDI-CAN-18802, tiene una calificación de 6.3/10.

Los detalles de las fallas son escasos, y la publicación de GTSC detalla sus observaciones de webshells con características chinas que se colocan en los servidores de Exchange. Esos webshells luego “inyectan archivos DLL maliciosos en la memoria, colocan archivos sospechosos en los servidores atacados y ejecutan estos archivos a través de la línea de comando de instrumentación de administración de Windows (WMIC).

Ese esfuerzo conduce a la capacidad de realizar la ejecución remota de código, y eso rara vez termina bien.

Se encontró que el protocolo de detección automática de Microsoft Exchange filtra cientos de miles de credenciales
Funcionarios estadounidenses y expertos temen que China haya saqueado servidores de Exchange en busca de datos para entrenar sistemas de IA
El jardín de torturas de Microsoft Exchange: Danos la serenidad para aceptar lo que no pueden EOL
Microsoft corrige un agujero crítico de ejecución de código remoto en Exchange Server y otros
Es octubre de 2018 y Microsoft Exchange puede ser manipulado por un valiente niño de ocho años…
La Autoridad Bancaria Europea restaura el servicio de correo electrónico tras el hackeo de Microsoft Exchange
La NSA ayuda a Microsoft con las divulgaciones de vulnerabilidades críticas de Exchange Server en una lluvia de parches de abril

En esta etapa, es difícil imaginar un buen final para esta historia, porque si bien GTSC ha descrito las mitigaciones en su publicación, Microsoft aún no ha publicado una solución. La historia me dice que incluso una vez que Microsoft publica un parche, muchos miles de usuarios de Exchange no lo implementarán de inmediato.

Para empeorar las cosas, las hazañas de las fallas ya son evidentes.

La publicación de GTSC afirma que ya ha visto a algunos de sus clientes bajo ataque. El analista de Infosec, Kevin Beaumont, tuiteó noticias de que también está al tanto de los ataques activos.

🚨 There’s reports emerging that a new zero day exists in Microsoft Exchange, and is being actively exploited in the wild 🚨

I can confirm significant numbers of Exchange servers have been backdoored – including a honeypot.

Thread to track issue follows:
— Kevin Beaumont (@GossiTheDog) September 29, 2022

Estas fallas son solo las últimas de una larga lista de problemas con Exchange, el producto de mensajería insignia de Microsoft. El más infame de los últimos tiempos fue el defecto Hafnium que se cree que fue obra de actores chinos. Apenas pasa un mes sin que Microsoft encuentre otras fallas de Exchange que se consideren dignas de un parche Patch Tuesday, pero el gigante del software también se comprometió recientemente a mejorar la seguridad del servidor mediante la adopción de principios de confianza cero para las conexiones al producto.

fuente:theregister[.]com

You May Also Like

Las agencias de ciberseguridad advierten a los usuarios de Ubiquiti EdgeRouter sobre la amenaza MooBot de APT28

La botnet Mirai ataca el servidor de Minecraft de Wynncraft con un ataque DDoS de 2,5 TBps

La herramienta ‘comando no encontrado’ de Ubuntu podría engañar a los usuarios para que instalen paquetes no autorizados