Vulnerabilidad en MS Exchange siendo explotada (PARCHEA!)

Los Zero-Days dirigidos a Microsoft este mes incluyen CVE-2023-36025 (CVSSv3 de 8,8), una debilidad que permite que el contenido malicioso eluda la función de seguridad SmartScreen de Windows. SmartScreen es un componente integrado de Windows que intenta detectar y bloquear sitios web y archivos maliciosos.

Según Microsoft, se explotó en la naturaleza como un día ceroy dice que los atacantes podrían explotarla haciendo que un usuario de Windows haga clic en un enlace trampa a un archivo de acceso directo. Un atacante podría aprovechar esta falla creando un archivo de acceso directo a Internet (.URL) malicioso y convenciendo a un objetivo para que haga clic en el archivo o en un hipervínculo que apunte a un archivo.URL. Una explotación exitosa daría como resultado eludir los controles de seguridad en Windows Defender SmartScreen.

Más allá de los Zero-Days solucionado por Microsoft el martes, Kevin Breen, director senior de investigación de amenazas en Immersive Labs, dijo que las organizaciones que ejecutan Microsoft Exchange Server deberían priorizar varios parches nuevos de Exchange, incluido CVE-2023-36439 (CVSSc2 8,0), que es un error que permitiría a los atacantes instalar software malicioso en un servidor Exchange. Esta debilidad técnicamente requiere que el atacante esté autenticado en la red local del objetivo, pero Breen señala que un par de credenciales de Exchange suplantadas proporcionarán ese acceso muy bien.

En este caso un atacante autenticado en un servidor Exchange vulnerable como usuario válido podría aprovechar esta vulnerabilidad para obtener RCE como NT AUTHORITY\SYSTEM en el backend del buzón del servidor. Microsoft califica esta vulnerabilidad como Explotación más probable.

"Esto generalmente se logra mediante ataques de ingeniería social con phishing para obtener acceso inicial a un host antes de buscar otros objetivos internos vulnerables; el hecho de que su servidor Exchange no tenga autenticación orientada a Internet no significa que esté protegido", dijo Breen. .

Breen dijo que esta vulnerabilidad va de la mano con otros tres errores de Exchange que Microsoft designó como "explotación más probable": CVE-2023-36050, CVE-2023-36039 y CVE-2023-36035.

ShadowServer está informando IP vulnerables de Microsoft Exchange Server CVE-2023-36439 (RCE posterior a la autenticación). Ya cuentan más de 63.000 equipos vulnerables en todo el mundo y 600 en América Latina.

Es una de las cuatro vulnerabilidades en Microsoft Exchange Server parcheadas y con la importante explotación histórica de Microsoft Exchange Server por parte de atacantes, continuamos monitoreando y resaltando fallas en Exchange Server.

Fuente: ShadowServer

Suscríbete a nuestro Boletín