Los investigadores de una empresa de seguridad vietnamita llamada GTSC dijeron que los piratas informáticos chinos están explotando dos errores de dÃa cero en los servidores Exchange de Microsoft, lo que lleva a un ataque RCE.
Estas son vulnerabilidades de ProxyShell que Microsoft aún no reconoció, por lo que no se establece una ID de CVE de seguimiento. Mientras tanto, los investigadores que los detectaron compartieron con Microsoft un parche oficial y también dieron una solución temporal para los administradores del sistema hasta entonces.
Error RCE en servidores Exchange
Desde principios de este año, los servidores de Microsoft Exchange han sido algunos de los sistemas atacados con frecuencia debido a que tienen una serie de vulnerabilidades de dÃa cero. Últimamente, hemos visto dos errores de dÃa cero informados por GTSC, una empresa de seguridad vietnamita que compartió sus hallazgos con Microsoft a través de su Iniciativa de dÃa cero.
🚨 Están surgiendo informes de que existe un nuevo dÃa cero en Microsoft Exchange, y está siendo explotado activamente en la naturaleza 🚨
Puedo confirmar que un número significativo de servidores de Exchange han sido hackeados, incluido un honeypot.
El hilo para rastrear el problema sigue:
—Kevin Beaumont (@GossiTheDog) 29 de septiembre de 2022
Según esto, los servidores de Exchange están infestados con dos errores de dÃa cero, relacionados con ProxyShell, y que conducen a un ataque de ejecución remota de código. Los investigadores notaron explotaciones activas contra estos y los vincularon con un grupo chino que cita los shells web y los agentes de usuario que están usando en el proceso.
Además, detallaron que los piratas informáticos están encadenando el par de dÃas cero para implementar sus shells web Chopper en servidores comprometidos, para ganar persistencia y robo de datos e incluso moverse lateralmente a otros sistemas en las redes de las vÃctimas.
Aunque compartieron estos hallazgos con Microsoft hace tres semanas, la compañÃa aún debe reconocer y presentar un parche. Hasta entonces, GTSC ha asignado un ID de seguimiento como ZDI-CAN-18333 y ZDI-CAN-18802 a las dos vulnerabilidades, con puntuaciones de gravedad de 8,8 y 6,3, respectivamente.
Poco después de su divulgación, TrendMicro confirmó el envÃo a través de un aviso de seguridad y agregó detecciones para estos dÃas cero a sus productos IPS N-Platform, NX-Platform o TPS.
Hasta que Microsoft presente una actualización de parche adecuada, GTSC compartió la mitigación temporal para los administradores de Exchange Server, de la siguiente manera:
- En Detección automática en FrontEnd, seleccione la pestaña Reescritura de URL y luego Solicitar bloqueo.
- Agregar cadena “.*detección automática\.json.*\@.*Powershell.*“ a la ruta URL.
- Entrada de condición: elija {REQUEST_URI}
Si es administrador del sistema y desea verificar si su servidor se vio comprometido por estos errores, pruebe el siguiente comando de PowerShell para escanear los archivos de registro de IIS;
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200