Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1082
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
-
▼
octubre
(Total:
59
)
- LinkedIn detectará perfiles falsos
- Telefónica sufre un ciberataque y recomienda cambi...
- Disponible distro Zorin OS 16.2
- Kodi 20 Nexus
- Es posible saber la ubicación en app's de mensajer...
- Musk despide al CEO y varios ejecutivos de Twitter
- Grave vulnerabilidad en SQLite desde hace 22 años
- Navegador Brave bloquea por defecto el molesto avi...
- Tras 9 años, ya disponible nueva versión de MemTes...
- Final de soporte para Google Chrome en Windows 7 y...
- Cuenta de usuario sin permisos de administrador en...
- Cables submarinos de Internet, ¿próximo objetivo d...
- PC Manager es la nueva herramienta de limpieza de ...
- Venus es un nuevo ransomware que se aprovecha del ...
- Récord de transferencia de datos: ⚡ 1,84 petabits ...
- Tras el Hackeo al Ministerio de Salud Argentino: p...
- Grupo Black Reward hackea una planta de energía nu...
- Recuperar archivos borrados en Android
- Recuperar cuentas hackeadas
- Europa prohibirá la venta de televisores 8K por su...
- Detenido un nigeriano por estafar a una mujer alic...
- Disponible Asterisk 20, versión LTS de la centrali...
- Android 13 Go edition requiere de 2GB de RAM y 16G...
- Asistentes al Mundial de Fútbol de Qatar deberán i...
- Tails 5.5, nueva versión del ‘amnesic incognito li...
- El 40% de los chips que China exporta a Rusia son ...
- Detenido en Brasil un sospechoso vinculado al grup...
- Microsoft expone por error los datos de 65 mil ent...
- Un soldado, tras las pruebas con las gafas de comb...
- Firefox 106 con edición de PDF y mejoras en los so...
- KataOS, el OS open source de Google para dispositi...
- Google implementa sistema Passkey (sin contraseña)...
- Las nuevas RTX 4090 permiten crackear contraseñas ...
- Google Chrome introducirá una característica para ...
- YoWhatsApp y el gran peligro de las apps modificadas
- Microsoft presenta Surface Pro 9 con Intel o ARM 5...
- Phishing-as-a-Service: Caffeine
- Detectar y prevenir volcados de credenciales LSASS...
- Windows 7 sigue siendo más usado que Windows 11 en...
- Ya disponible VirtualBox 7.0
- Alemania destituye al jefe de la ciberseguridad al...
- Ransomware por suscripción (as a Service) RaaS
- Toyota sufre una filtración de datos
- Grupo KillNet realiza ataques DDoS a webs de aerop...
- Hackean la televisión estatal de Irán
- Google Chrome es el navegador con más vulnerabilid...
- Localizar y bloquear ordenador portátil robado o p...
- Ferrari sufre un ciberataque de ransomware y le ro...
- Ciberataque de ransomware afecta a hospitales y am...
- Google presenta oficialmente Google Pixel 7 y 7 Pro
- El exjefe de seguridad de Uber declarado culpable ...
- Elon Musk, al final, acepta comprar Twitter sin mo...
- Versión troyanizada del navegador Tor en popular c...
- El videojuego OverWatch 2 sufre un ataque DDoS el ...
- Bot de PornHub para evitar el abuso sexual infantil
- Malware multiplataforma Chaos infecta dispositivos...
- Vulnerabilidad 0-day en Exchange explotada activam...
- Confirmado: tres periodistas de México fueron espi...
- Grupo Guacamaya hackeó SEDENA (Secretaría de la De...
- ► septiembre (Total: 72 )
-
▼
octubre
(Total:
59
)
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un conector HDMI dummy o fantasma no es más que un HDMI que simula que hay una pantalla conectada. Tienen una variedad de propósitos útil...
-
En WhatsApp se han dicho verdaderas barbaridades. Todos hemos cometido el error de escribir algo en caliente . Y de arrepentirnos. Tal vez ...
Vulnerabilidad 0-day en Exchange explotada activamente: mitigaciones y recomendaciones
GTSC Blue Team determinaron que el ataque utilizó una vulnerabilidad Zero-Day, por lo que inmediatamente se elaboró un plan de contención temporal. Al mismo tiempo, los expertos de Red Team comenzaron a investigar y depurar el código descompilado de Exchange para encontrar la vulnerabilidad y explotar el código. Un par de vulnerabilidades web-shell encadenadas que afectan a las versiones 2013, 2016 y 2019 de Exchange Server, con la ayuda del frecuentemente abusado PowerShell, parece ser una combinación de ataque válida. Después de la divulgación pública del exploit por parte de la firma de seguridad GTSC, Microsoft emitió una guía sobre el problema (que describen como limitado y dirigido, pero real) antes de emitir las actualizaciones en su cadencia habitual.
Exchange ha publicado un script de PowerShell para aplicar las correcciones sugeridas de forma automática. Para los clientes que tienen habilitado el Servicio de Mitigación de Emergencia de Exchange (EEMS) de la compañía, Microsoft también ha publicado la mitigación de Reescritura de URL para Exchange Server 2016 y Exchange Server 2019, que, según la compañía, se habilitará automáticamente. Por último, Microsoft recomienda a las empresas que deshabiliten los derechos de acceso no administrativos para PowerShell si es posible.
Investigadores de la empresa GTSC afirman haber encontrado durante una respuesta ante incidente, trazas de ataques de una nueva vulnerabilidad de día cero (0-day) que afecta a los despliegues on premise de Microsoft Exchange.
Según estos investigadores, la explotación exitosa de esta vulnerabilidad permitiría a un atacante remoto la subida de una webshell al servidor donde se esté alojando el servicio de Exchange.
Microsoft, ha confirmado la existencia de dos nuevas vulnerabilidades que afectan a los servidores de Exchange, la primera de ellas un problema de SSRF y la segunda un problema de ejecución remota de código (RCE). Estas vulnerabilidades afectarían a los Servidores Exchange 2013, 2016 y 2019. También afirmó que se han detectado explotaciones de estas vulnerabilidades por parte de múltiples actores in-the-wild.
En el momento de redacción de esta noticia aún no existe un parche oficial para Microsoft Exchange aunque se ha hecho publico un parche temporal por parte de Microsoft consistente en la adición de una regla nueva de reescritura de URL en el manager IIS del servidor de Exchange. Además ha comunicado que esta vulnerabilidad solo afecta a las versiones on premise de Exchange.
Estos ataques guardan similitud con los ocurridos el pasado año mediante la explotación de ProxyLogon y ProxyShell.
La vulnerabilidad resulta tan crítica que permite al atacante realizar RCE en el sistema comprometido. GTSC envió la vulnerabilidad a Zero Day Initiative (ZDI) de inmediato para trabajar con Microsoft para que se pudiera preparar un parche lo antes posible. ZDI verificó y reconoció 2 errores, cuyos puntajes CVSS son ZDI-CAN-18333 (8.8) y ZDI-CAN-18802 (6.3).
Las vulnerabilidades están siendo rastreadas por Microsoft como CVE-2022–41040 y CVE-2022–41082:
- CVE-2022-41040: It is a server-side request forgery (SSRF) vulnerability.
- CVE-2022-41082: Allows remote code execution (RCE) if the attacker has access to PowerShell
GTSC confirmó que otros sistemas también estaban siendo atacados con esta vulnerabilidad de día cero. Para ayudar a la comunidad a detener temporalmente el ataque antes de que esté disponible un parche oficial de Microsoft, publicaron este artículo dirigido a aquellas organizaciones que utilizan el sistema de correo electrónico de Microsoft Exchange.
Información de vulnerabilidad
Para explotar esta vulnerabilidad se necesita un usuario autenticado. Inicialmente se detectan solicitudes de explotación en los registros de IIS con el mismo formato que la vulnerabilidad de ProxyShell. Incluso a esta vulnerabilidad Kevin Beaumont la está llamando ProxyNOTShell.
autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json%3f@evil.com
Luego, el atacante puede ejecutar comandos en el sistema atacado, acceder a un componente en el backend de Exchange y ejecutar un RCE. Aún NO se han publicado detalles técnicos de la vulnerabilidad.
Las mitigaciones son similares a ProxyShell
Prevención y mitigación
Como medida temporal (confirmada por Microsoft), y mientras se espera por el parche oficial por parte de Microsoft, se recomienda añadir una regla de bloqueo en el módulo URL Rewrite Rule de IIS.
NOTA: En SO menores a Windows Server 2016, es necesario instalar KB2999226 para que el IIS Rewrite Module 2.1 funcione.
- En «Autodiscover» en «FrontEnd» seleccione la pestaña «URL Rewrite» y luego «Request Blocking».
-
Agregue la siguiente cadena en «URL Path»:".*autodiscover\.json.*\@.*Powershell.*"
(sin comillas) -
Actualización 04/10: agregue la siguiente cadena en «URL Path»:
".*autodiscover\.json.*Powershell.*"
(sin comillas) -
En «Condition» cambie
{URL}
por{REQUEST_URI}
. - En «Using» marcar «Regular Expressions».
La publicación de Microsoft sobre Web Shell Threat Hunting con Microsoft Sentinel también proporciona una guía válida para buscar web shells en general.
- Exchange OAB Virtual Directory Attribute Containing Potential Webshell
- Web Shell Activity
- Malicious web application requests linked with Microsoft Defender for Endpoint alerts
- exchange-iis-worker-dropping-webshell
- Web shell Detection
- Exchange-ProxyShell
Para ayudar a las organizaciones a verificar si sus servidores Exchange ya han sido explotados por este error, GTSC ha publicado una guía y una herramienta para escanear archivos de registro de IIS (almacenados de manera predeterminada en la carpeta %SystemDrive%\inetpub\logs\LogFiles):
Usar powershell:
Get-ChildItem -Recurse -Path -Filter "*.log" |
Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200
O, se puede ejecutar la herramienta desarrollada para la detección de esta vulnerabilidad: https://github.com/ncsgroupvn/NCSE0Scanner.
Los clientes de Microsoft Exchange Online no necesitan realizar ninguna acción. Los clientes locales de Microsoft Exchange deben revisar y aplicar las instrucciones de reescritura de URL previas. Microsoft ha publicado un script para aplicar estas mitigaciones contra la vulnerabilidad SSRF CVE-2022-41040. Este script requiere PowerShell 3+ y permisos de Administrador sobre IIS 7.5+.
La empresa también ha confirmado que las instrucciones de reescritura de URL discutidas públicamente pueden romper las cadenas de ataque actuales.
Como medidas de prevención adicionales, la compañía insta a las empresas a aplicar la autenticación multifactor (MFA ), deshabilitar la autenticación heredada y educar a los usuarios sobre cómo no aceptar solicitudes inesperadas de autenticación de dos factores (2FA).
De acuerdo a Shodan (otro), actualmente puede haber más de 200.000 servidores potencialmente expuestos. Se puede realizar la búsqueda como http.component:"outlook web app" y filtrar por ORG:"nombre_empresa" o por SSL:"*nombre*".
Actualización 02/10
- Recomendamos enfáticamente a los clientes de Exchange Server que deshabiliten el acceso remoto a PowerShell para usuarios que no sean administradores en su organización. La guía sobre cómo hacer esto para un solo usuario o múltiples usuarios está aquí.
- Se actualizó la sección detección de las las vulnerabilidades de Exchange CVE-2022-41040 y CVE-2022-41082.
- Germán Fernández (aka @1ZRR4H) ha publicado un script NMAP para la detección de la vulnerabilidades.
El investigador de seguridad
Jang en un tweet muestra
que la solución temporal de Microsoft para prevenir la explotación de
CVE-2022-41040 y CVE-2022-41082 no es eficiente y se puede eludir con poco
esfuerzo. Will Dormann, analista senior de vulnerabilidades de ANALYGENCE,
está de acuerdo (video) con el hallazgo y dice que la '@' en el bloque de URL de Microsoft
"parece innecesariamente preciso y, por lo tanto, insuficiente". Por
eso la cadena original se ha modificado a
.*autodiscover\.json.*Powershell.*
Muchas organizaciones tienen una configuración híbrida que combina la implementación local con la nube de Microsoft Exchange y deben comprender que también son vulnerables.
En un video de hoy, el investigador de seguridad Kevin Beaumont advierte que mientras haya una implementación de Exchange Server en las instalaciones, la organización está en riesgo.
Más información:
- Hilo de Kevin Beaumont: https://twitter.com/GossiTheDog/status/1575762721353916417
- Mitigación: https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/
- SSRF: https://github.com/GossiTheDog/ThreatHunting/blob/master/AzureSentinel/Exchange-CVE-2021-34473-SSRF
- RCE: https://github.com/GossiTheDog/ThreatHunting/blob/master/AzureSentinel/Exchange-Powershell-via-SSRF
- https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9
- Informacióin de Microsoft: 1 y 2
- Bleeping Computer
- Reglas Sigma: proc_creation_win_webshell_chopper.yml | file_event_win_exchange_webshell_drop.yml
Fuentes:
https://blog.segu-info.com.ar/2022/09/vulnerabilidad-zero-day-en-exchange.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.