Un investigador de seguridad ha publicado el código de explotación de prueba de concepto para dos errores en Microsoft Exchange, promocionado como el ProxyNotShell – que pueden usar los atacantes para obtener privilegios de administrador y ejecutar código arbitrario de forma remota.
Microsoft lanzó actualizaciones para parchear estos errores hace una semana, pero aún está en manos de los usuarios finales aplicarlo. Mientras lo hacen, los investigadores han notado un aumento en las explotaciones contra estos errores desde septiembre de este año.
Errores de Microsoft Exchange
Microsoft Exchange suele ser el objetivo de los piratas informáticos debido a su popularidad, y muchos utilizan este software de servidor para alojar y administrar sus archivos. Por lo tanto, cualquier error que se encuentre en este software se explota rápidamente para aprovecharlo.
En la búsqueda más reciente, la empresa de ciberseguridad vietnamita GTSC ha encontrado dos errores críticos en el software de Microsoft Exchange, que pueden explotarse encadenándolos e implementando shells web de Chinese Chopper en los servidores comprometidos. Esta tendencia ha sido nombrada ProxyNotShell.
Estas dos vulnerabilidades de seguridad se rastrean como CVE-2022-41082 y CVE-2022-41040 y afectan a las versiones de Microsoft Exchange Server 2013, 2016 y 2019. Después de GTSC, varias otras empresas de seguridad han detallado cómo los atacantes pueden aprovechar estos errores para aumente sus privilegios, ejecute comandos de PowerShell y obtenga la ejecución de código arbitrario en los sistemas comprometidos.
Bueno, al darse cuenta de su potencial, Microsoft lanzó parches para estos errores en la actualización del martes de parches de noviembre de 2022 y recomendó a los usuarios que los aplicaran de inmediato, ya que Redmond también detectó exploraciones activas contra servidores Exchange expuestos.
“Estas vulnerabilidades afectan a Exchange Server. Los clientes de Exchange Online ya están protegidos contra las vulnerabilidades abordadas en estos SU y no necesitan tomar ninguna medida más que actualizar los servidores de Exchange en su entorno”.
Ahora, un investigador de seguridad que se hace llamar Jangggg ha lanzado el exploit de prueba de concepto (POC) para estos dos errores, que los atacantes han utilizado previamente en sus campañas para apuntar a los servidores Exchange de puerta trasera.
Y con varios investigadores advertencia de explotaciones activas en los últimos meses, se recomienda aplicar la última actualización de Microsoft para proteger sus servidores de Exchange.
