GTSC Cyber Security ha informado de una nueva campaña de ataque que explota 2 vulnerabilidades 0-day afectando a Microsoft Exchange Server, que fueron notificadas a Microsoft a través del programa ZDI de Trend Micro: ZDI-CAN-18333 (CVSS 8.8) y ZDI-CAN-18802 (CVSS 6.3). La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código remoto. Esta vulnerabilidad, de tipo Server-Side Request Forgery (SSRF), solo puede ser explotada por atacante autenticados. Se ha asignado el identificador CVE-2022-41040 para esta vulnerabilidad.Los atacantes podrían acceder a PowerShell Remoting en servidores Exchange expuestos y vulnerables para la ejecución remota de código (RCE) a través esta vulnerabilidad. Se ha asignado el identificador CVE-2022-41082 para esta vulnerabilidad.En este momento, Microsoft es consciente de limitados ataques dirigidos que explotan estas 2 vulnerabilidades para entrar en los sistemas de los usuarios. En estos ataques CVE-2022-41040 un atacante autenticado podría activar remotamente CVE-2022-41082. Hay que tener en cuenta que es necesario el acceso autenticado al Exchange Server vulnerable para explotar con éxito cualquiera de las 2 vulnerabilidades.La investigación de GTSC Cyber Security incluye una serie de indicadores de compromiso (IOCs) en su publicación.
Recursos afectados:
Microsoft Exchange Server, versiones 2013, 2016 y 2019.
Para ayudar a las organizaciones a comprobar si sus servidores Exchange han sido explotados por este fallo, GTSC ha publicado una guía y una herramienta para escanear los archivos de registro de IIS:
- Ejecutar el comando de PowerShell:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter *.log | Select-String -Pattern powershell.*autodiscover\.json.*\@.*200
-
Utilizar la herramienta NCSE0Scanner desarrollada por GTSC.
