Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Vulnerabilidad 0-day en Exchange explotada activamente: mitigaciones y recomendaciones


GTSC Blue Team determinaron que el ataque utilizó una vulnerabilidad Zero-Day, por lo que inmediatamente se elaboró ​​un plan de contención temporal. Al mismo tiempo, los expertos de Red Team comenzaron a investigar y depurar el código descompilado de Exchange para encontrar la vulnerabilidad y explotar el código. Un par de vulnerabilidades web-shell encadenadas que afectan a las versiones 2013, 2016 y 2019 de Exchange Server, con la ayuda del frecuentemente abusado PowerShell, parece ser una combinación de ataque válida. Después de la divulgación pública del exploit por parte de la firma de seguridad GTSC, Microsoft emitió una guía sobre el problema (que describen como limitado y dirigido, pero real) antes de emitir las actualizaciones en su cadencia habitual.




Exchange ha publicado un script de PowerShell para aplicar las correcciones sugeridas de forma automática. Para los clientes que tienen habilitado el Servicio de Mitigación de Emergencia de Exchange (EEMS) de la compañía, Microsoft también ha publicado la mitigación de Reescritura de URL para Exchange Server 2016 y Exchange Server 2019, que, según la compañía, se habilitará automáticamente. Por último, Microsoft recomienda a las empresas que deshabiliten los derechos de acceso no administrativos para PowerShell si es posible.

Investigadores de la empresa GTSC afirman haber encontrado durante una respuesta ante incidente, trazas de ataques de una nueva vulnerabilidad de día cero (0-day) que afecta a los despliegues on premise de Microsoft Exchange.

Según estos investigadores, la explotación exitosa de esta vulnerabilidad permitiría a un atacante remoto la subida de una webshell al servidor donde se esté alojando el servicio de Exchange.

Microsoft, ha confirmado la existencia de dos nuevas vulnerabilidades que afectan a los servidores de Exchange, la primera de ellas un problema de SSRF y la segunda un problema de ejecución remota de código (RCE). Estas vulnerabilidades afectarían a los Servidores Exchange 2013, 2016 y 2019. También afirmó que se han detectado explotaciones de estas vulnerabilidades por parte de múltiples actores in-the-wild.

 


 

En el momento de redacción de esta noticia aún no existe un parche oficial para Microsoft Exchange aunque se ha hecho publico un parche temporal por parte de Microsoft consistente en la adición de una regla nueva de reescritura de URL en el manager IIS del servidor de Exchange. Además ha comunicado que esta vulnerabilidad solo afecta a las versiones on premise de Exchange.


 

Estos ataques guardan similitud con los ocurridos el pasado año mediante la explotación de ProxyLogon y ProxyShell.

   La vulnerabilidad resulta tan crítica que permite al atacante realizar RCE en el sistema comprometido. GTSC envió la vulnerabilidad a Zero Day Initiative (ZDI) de inmediato para trabajar con Microsoft para que se pudiera preparar un parche lo antes posible. ZDI verificó y reconoció 2 errores, cuyos puntajes CVSS son ZDI-CAN-18333 (8.8) y ZDI-CAN-18802 (6.3).

Las vulnerabilidades están siendo rastreadas por Microsoft como CVE-2022–41040 y CVE-2022–41082:

  • CVE-2022-41040: It is a server-side request forgery (SSRF) vulnerability.
  • CVE-2022-41082: Allows remote code execution (RCE) if the attacker has access to PowerShell   

   GTSC confirmó que otros sistemas también estaban siendo atacados con esta vulnerabilidad de día cero. Para ayudar a la comunidad a detener temporalmente el ataque antes de que esté disponible un parche oficial de Microsoft, publicaron este artículo dirigido a aquellas organizaciones que utilizan el sistema de correo electrónico de Microsoft Exchange.

 Información de vulnerabilidad


 

Para explotar esta vulnerabilidad se necesita un usuario autenticado. Inicialmente se detectan solicitudes de explotación en los registros de IIS con el mismo formato que la vulnerabilidad de ProxyShell. Incluso a esta vulnerabilidad Kevin Beaumont la está llamando ProxyNOTShell

 

autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json%3f@evil.com


 Luego, el atacante puede ejecutar comandos en el sistema atacado, acceder a un componente en el backend de Exchange y ejecutar un RCE. Aún NO se han publicado detalles técnicos de la vulnerabilidad. 

Las mitigaciones son similares a ProxyShell

 

Prevención y mitigación

Como medida temporal (confirmada por Microsoft), y mientras se espera por el parche oficial por parte de Microsoft, se recomienda añadir una regla de bloqueo en el módulo URL Rewrite Rule de IIS.

NOTA: En SO menores a Windows Server 2016, es necesario instalar KB2999226 para que el IIS Rewrite Module 2.1 funcione.

  1. En «Autodiscover» en «FrontEnd» seleccione la pestaña «URL Rewrite» y luego «Request Blocking».
  2. Agregue la siguiente cadena en «URL Path»: ".*autodiscover\.json.*\@.*Powershell.*" (sin comillas)
  3. Actualización 04/10: agregue la siguiente cadena en «URL Path»: ".*autodiscover\.json.*Powershell.*" (sin comillas)
  4. En «Condition» cambie {URL} por  {REQUEST_URI}{UrlDecode:{REQUEST_URI}}
  5. En «Using» marcar «Regular Expressions».


La publicación de Microsoft sobre Web Shell Threat Hunting con Microsoft Sentinel también proporciona una guía válida para buscar web shells en general.

Para ayudar a las organizaciones a verificar si sus servidores Exchange ya han sido explotados por este error, GTSC ha publicado una guía y una herramienta para escanear archivos de registro de IIS (almacenados de manera predeterminada en la carpeta %SystemDrive%\inetpub\logs\LogFiles):

Usar powershell:

Get-ChildItem -Recurse -Path  -Filter "*.log" |
    Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200

O, se puede ejecutar la herramienta desarrollada para la detección de esta vulnerabilidad: https://github.com/ncsgroupvn/NCSE0Scanner.

Los clientes de Microsoft Exchange Online no necesitan realizar ninguna acción. Los clientes locales de Microsoft Exchange deben revisar y aplicar las instrucciones de reescritura de URL previas. Microsoft ha publicado un script para aplicar estas mitigaciones contra la vulnerabilidad SSRF CVE-2022-41040. Este script requiere PowerShell 3+ y permisos de Administrador sobre IIS 7.5+.

La empresa también ha confirmado que las instrucciones de reescritura de URL discutidas públicamente pueden romper las cadenas de ataque actuales.

Como medidas de prevención adicionales, la compañía insta a las empresas a aplicar la autenticación multifactor (MFA ), deshabilitar la autenticación heredada y educar a los usuarios sobre cómo no aceptar solicitudes inesperadas de autenticación de dos factores (2FA).

De acuerdo a Shodan (otro), actualmente puede haber más de 200.000 servidores potencialmente expuestos. Se puede realizar la búsqueda como http.component:"outlook web app" y filtrar por ORG:"nombre_empresa" o por SSL:"*nombre*".

Actualización 02/10

  • Recomendamos enfáticamente a los clientes de Exchange Server que deshabiliten el acceso remoto a PowerShell para usuarios que no sean administradores en su organización. La guía sobre cómo hacer esto para un solo usuario o múltiples usuarios está aquí.
  • Se actualizó la sección detección de las las vulnerabilidades de Exchange CVE-2022-41040 y CVE-2022-41082.
  • Germán Fernández (aka @1ZRR4H) ha publicado un script NMAP para la detección de la vulnerabilidades.

El investigador de seguridad Jang en un tweet  muestra que la solución temporal de Microsoft para prevenir la explotación de CVE-2022-41040 y CVE-2022-41082 no es eficiente y se puede eludir con poco esfuerzo. Will Dormann, analista senior de vulnerabilidades de ANALYGENCE, está de acuerdo (video) con el hallazgo y dice que la '@' en el bloque de URL de Microsoft "parece innecesariamente preciso y, por lo tanto, insuficiente". Por eso la cadena original se ha modificado a .*autodiscover\.json.*Powershell.*

Muchas organizaciones tienen una configuración híbrida que combina la implementación local con la nube de Microsoft Exchange y deben comprender que también son vulnerables.

En un video de hoy, el investigador de seguridad Kevin Beaumont advierte que mientras haya una implementación de Exchange Server en las instalaciones, la organización está en riesgo.

Más información:

Fuentes:

https://unaaldia.hispasec.com/2022/10/atacantes-explotan-una-nueva-vulnerabilidad-de-microsoft-exchange.html

https://blog.segu-info.com.ar/2022/09/vulnerabilidad-zero-day-en-exchange.html 


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.