New Microsoft Exchange Zero Days
Microsoft Exchange se ve afectado por cuatro vulnerabilidades de día cero que los atacantes pueden explotar de forma remota para ejecutar código arbitrario o revelar información confidencial sobre las instalaciones afectadas.
Las vulnerabilidades de día cero fueron reveladas ayer por la Iniciativa de Día Cero (ZDI) de Trend Micro, quien las informó a Microsoft los días 7 y 8 de septiembre de 2023.
A pesar de que Microsoft reconoció los informes, sus ingenieros de seguridad decidieron que las fallas no eran lo suficientemente graves como para garantizar un servicio inmediato, posponiendo las correcciones para más adelante.
ZDI no estuvo de acuerdo con esta respuesta y decidió publicar las fallas bajo sus propios ID de seguimiento para advertir a los administradores de Exchange sobre los riesgos de seguridad.
A continuación se puede encontrar un resumen de las fallas:
- ZDI-23-1578 : una falla de ejecución remota de código (RCE) en la clase 'ChainedSerializationBinder', donde los datos del usuario no se validan adecuadamente, lo que permite a los atacantes deserializar datos que no son de confianza. La explotación exitosa permite a un atacante ejecutar código arbitrario como 'SISTEMA', el nivel más alto de privilegios en Windows.
- ZDI-23-1579 : ubicada en el método 'DownloadDataFromUri', esta falla se debe a una validación insuficiente de un URI antes del acceso a los recursos. Los atacantes pueden aprovecharlo para acceder a información confidencial desde los servidores de Exchange.
- ZDI-23-1580 : esta vulnerabilidad, en el método 'DownloadDataFromOfficeMarketPlace', también se debe a una validación de URI incorrecta, lo que podría conducir a la divulgación de información no autorizada.
- ZDI-23-1581 : presente en el método CreateAttachmentFromUri, esta falla se parece a los errores anteriores con una validación de URI inadecuada, lo que nuevamente pone en riesgo la exposición de datos confidenciales.
Todas estas vulnerabilidades requieren autenticación para su explotación, lo que reduce su clasificación CVSS de gravedad entre 7,1 y 7,5. Además, exigir autenticación es un factor de mitigación y posiblemente la razón por la que Microsoft no dio prioridad a la corrección de errores.
Sin embargo, cabe señalar que los ciberdelincuentes tienen muchas formas de obtener credenciales de Exchange, incluida la fuerza bruta de contraseñas débiles, realizar ataques de phishing, comprarlas o adquirirlas de registros de ladrones de información.
Recomendaciones
- Aplicar y estar al pendiente de los nuevos paquetes de actualización liberados por Microsoft.
- Aplicar el control de doble factor de autentificación en todas las cuentas.
- Ajustar los servicios a las mejores prácticas de seguridad basadas en un benchmark robusto.
- Contar con soluciones para protección de amenazas avanzadas.
.jpg)
