Microsoft informó recientemente sobre algunas vulnerabilidades de día cero detectadas, el detalle es el siguiente:
Actualizaciones:
• 07/10/2022: se han realizado mejoras adicionales en la mitigación de la regla de reescritura de URL.
• 11/10/2022: pasos 6 y 9 y las imágenes 8, 9 y 10.
• 02/11/2022: se ha eliminado la opción de bloquear los puertos http/5985 y https/5986, se han agregado requisitos para explotación.
• 10/11/2022: se han lanzado parches de actualizaciones para corregir las vulnerabilidades de día cero.
Algunos productos afectados son:
• Exchange Server 2013.
• Exchange Server 2016.
• Exchange Server 2019.
Descripción:
Microsoft ha informado sobre dos vulnerabilidades de día cero (0-day) que afectan a servidores de correo Microsoft Exchange Server, que permitirían a un atacante remoto realizar ataques del tipo server-side request forgery (SSRF) y ejecución remota de código (RCE). Actualmente para estas vulnerabilidades existen PoCs publicados en Internet.
• CVE-2022-41040, de severidad “Alta” y con puntuación asignada de 8.8. Estavulnerabilidad de día cero (0-day) se debe a un error de control de acceso del servidor Exchange. Esto permitiría a un atacante remoto realizar ataques del tipo server-side request forgery (SSRF).
• CVE-2022-41082, de severidad “Alta” y con puntuación asignada de 8.8. Esta vulnerabilidad de día cero (0-day) se debe a una falla en el componente PowerShell
Handler. Esto permitiría a un atacante realizar ejecución remota de código (RCE). Estas vulnerabilidades requieren de una autenticación necesaria para la explotación de la CVE-2022-41040 y bastaría con una cuenta de usuario estándar, sin privilegios de administrador para iniciar la CVE-2022-41082. Las credenciales pueden ser obtenidas por el atacante a través de técnicas de phishing, ingeniería social, contraseñas comunes más utilizadas o adquiridas a través de filtraciones de credenciales.