Mitigación para CVE-2022-41040 y CVE-2022-41082
Un grupo de investigadores de gteltsc.vn identifica un ataque que utiliza un par de vulnerabilidades no conocidas hasta el momento. También nos comparten como mitigar el ataque mientras Microsoft libera un parche oficial.
Desde hace unos días el portal gteltsc.vn ha cobrado relevancia, debido la publicación de una vulnerabilidad de día cero en los servidores MS Exchange. Para ser exactos las vulnerabilidades denominadas CVE-2022-41040 y CVE-2022-41082, en el detallado análisis de la cronología e investigación gteltsc.vn relata que descubrieron un ataque, el cual explotaba dicha vulnerabilidad alrededor de agosto de 2022.
Según continúan con el relato, se detectó que, al ejecutar exitosamente el ataque, son creados backdoors para ejecutar movimientos laterales. Se detectó la instalación de webshells que permiten el control del equipo.
Uno de los archivos que es modificado para albergar un webshell es RedirSuiteServiceProxy.aspx que es un archivo valido y se ubica en:
C:\ProgramFiles\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth
Si gustan, pueden leer el emocionante detalle >>> Aqui <<<
Pero la pregunta interesante es ¿Qué hago?
Microsoft indicó que para que esta vulnerabilidad pueda ser explotada se requiere un usuario con el cual puedan autenticarse. Suponiendo que tenemos varios de cientos de usuarios y que alguno fue víctima de phishing, podemos imaginar que lo tienen.
Dentro del mismo gteltsc.vn nos indican un método de contener el ataque temporalmente. El cual es crear una regla utilizando el control URL Rewirte.
- Seleccionar Request Blocking.
- En "URL PATH" agregar la siguiente cadena de texto ".*autodiscover\.json.*Powershell.*"
- Seleccionar condition input y añadir ".*autodiscover\.json.*Powershell.*"
Microsoft creó un script para crear la regla en URL REWRITE en la siguiente url https://aka.ms/EOMTv2 aunque según parece, el script que se menciona, contiene una cadena de caracteres que gteltsc.vn ha descartado por encontrar vulnerable a bypass.
“.*autodiscover\.json.*\@.*Powershell.*” - Cadena vulnerable
Una recomendación adicional de Microsoft es deshabilitar "remote powershell" para usuarios no administradores.
Como punto final, Microsoft menciona que los clientes con Exchange Emergency Mitigation Service (EEMS) están cubiertos contra este ataque en una capa superior.
![Ron Wyden - NSA Compra Ilegalmente [Meta]Datos de Americanos](https://www.rootednations.com/uploads/images/202401/image_750x415_65b5e777aa9d8.jpg)
