martes, 18 de octubre de 2022

GUÍA DEL CLIENTE PARA VULNERABILIDADES DE DÍA CERO NOTIFICADAS EN MICROSOFT EXCHANGE SERVER

 Actualizaciones del 8 de octubre de 2022:

Se realizó una corrección en la cadena en el paso 6 y el paso 9 en la opción 3 de mitigación de la regla de reescritura de URL. Los pasos 8, 9 y 10 tienen imágenes actualizadas.

Actualizaciones del 7 de octubre de 2022:

Se han realizado mejoras adicionales en la mitigación de la regla de reescritura de URL. Los clientes deben revisar y usar una de estas opciones: 

  • Opción 1: la mitigación para EEMS se ha actualizado y las actualizaciones se aplicarán automáticamente. 
  • Opción 2: Se actualizó la mitigación para EOMTv2. 
  • Opción 3: Se ha revisado la cadena en el paso 6 y el paso 9. Los pasos 8, 9 y 10 tienen imágenes actualizadas.

Actualizaciones del 6 de octubre de 2022:

Se lanzó una versión actualizada para EOMTv2 para eliminar un espacio adicional en el script que no afectaba la funcionalidad.


Actualizaciones del 5 de octubre de 2022:

Se han realizado mejoras adicionales en la mitigación de la regla de reescritura de URL. Los clientes deben revisar y usar una de estas opciones:


  • Opción 1: la mitigación para la regla EEMS se ha actualizado y las actualizaciones se aplicarán automáticamente.
  • Opción 2: Se actualizó la mitigación para EOMTv2.
  • Opción 3: las instrucciones y la imagen del paso 10 se actualizan para un cambio de entrada de condición.

Se agregó en la sección Mitigaciones que los clientes de Exchange Server deben completar ambas mitigaciones recomendadas.

Actualizaciones del 4 de octubre de 2022:

Se realizaron actualizaciones importantes en la sección Mitigaciones para mejorar la regla de reescritura de URL. Los clientes deben revisar y usar una de estas opciones:


  • Opción 1: La regla EEMS se actualiza y se aplica automáticamente.
  • Opción 2: el script EOMTv2 proporcionado anteriormente se ha actualizado para incluir la mejora de reescritura de URL.
  • Opción 3: las instrucciones de la regla de reescritura de URL se han actualizado. La cadena en el paso 6 y el paso 9 ha sido revisada. Los pasos 8, 9 y 10 tienen imágenes actualizadas.

Actualizaciones del 2 de octubre de 2022:

  • Agregado a la sección Mitigaciones: recomendamos encarecidamente a los clientes de Exchange Server que deshabiliten el acceso remoto a PowerShell para usuarios que no sean administradores en su organización. La guía sobre cómo hacer esto para un solo usuario o múltiples usuarios está aquí.  

Actualizaciones del 30 de septiembre de 2022:

  • Microsoft creó un script para los pasos de mitigación de reescritura de URL y modificó el paso 6 en la sección Mitigaciones.
  • Microsoft lanzó la mitigación del Servicio de mitigación de emergencia de Exchange (EEMS) para este problema. Más información está en la sección Mitigaciones. 

RESUMEN

     Microsoft está investigando dos vulnerabilidades de día cero informadas que afectan a Microsoft Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019. La primera, identificada como CVE-2022-41040 , es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) y la el segundo, identificado como CVE-2022-41082 , permite la ejecución remota de código (RCE) cuando el atacante puede acceder a PowerShell.  

     Actualmente, Microsoft tiene conocimiento de ataques dirigidos limitados que utilizan estas dos vulnerabilidades. En estos ataques, CVE-2022-41040 puede permitir que un atacante autenticado active de forma remota CVE-2022-41082 . Cabe señalar que el acceso autenticado al servidor Exchange vulnerable es necesario para explotar con éxito cualquiera de las vulnerabilidades.

     Los equipos de Microsoft Security Threat Intelligence han proporcionado un análisis más detallado de la actividad observada junto con orientación de detección y búsqueda en un blog de seguridad de Microsoft .

   Estamos trabajando en una línea de tiempo acelerada para lanzar una solución. Hasta entonces, proporcionamos una guía de mitigación a continuación para ayudar a los clientes a protegerse de estos ataques. 

     Microsoft Exchange Online tiene detecciones y mitigaciones para proteger a los clientes. Como siempre, Microsoft está supervisando estas detecciones en busca de actividad maliciosa y responderemos en consecuencia si es necesario para proteger a los clientes.

     También continuaremos brindando actualizaciones aquí para ayudar a mantener informados a los clientes. 

MITIGACIONES

Los clientes de Exchange Online no necesitan realizar ninguna acción.

     Los clientes de Exchange Server deben completar la mitigación de la regla de reescritura de URL para CVE-2022-41040 y la mitigación de Deshabilitar PowerShell remoto para no administradores para CVE-2022-41082 que se describe a continuación.

Regla de reescritura de URL

     La mitigación actual de Exchange Server consiste en agregar una regla de bloqueo en "Administrador de IIS -> Sitio web predeterminado -> Reescritura de URL -> Acciones" para bloquear los patrones de ataque conocidos. Los clientes de Exchange Server deben revisar y usar una de estas opciones.

Opción 1: para los clientes que tienen habilitado el Servicio de mitigación de emergencia de Exchange (EEMS), Microsoft lanzó la mitigación de reescritura de URL para Exchange Server 2016 y Exchange Server 2019. La mitigación se habilita automáticamente y se actualiza para incluir las mejoras de la regla de reescritura de URL. Consulte esta publicación de blog para obtener más información sobre este servicio y cómo verificar las mitigaciones activas.

Opción 2: Microsoft creó el script EOMTv2 para los pasos de mitigación de reescritura de URL y lo actualizó para incluir las mejoras de la regla de reescritura de URL. El script EOMTv2 se actualizará automáticamente en las máquinas conectadas a Internet y la versión actualizada se mostrará como 22.10.07.2029. El script debe volver a ejecutarse en cualquier Exchange Server sin EEMS habilitado. https://aka.ms/EOMTv2 

Opción 3: los clientes pueden seguir las instrucciones a continuación, que incluyen la actualización de cadena del paso 6. Una regla creada previamente para esta mitigación se puede eliminar después de seguir los pasos a continuación.

1. Abra el Administrador de IIS. 
2. Seleccione Sitio web predeterminado.
3. En la Vista de funciones, haga clic en Reescritura de URL.


4. En el panel Acciones del lado derecho, haga clic en Agregar regla(s)...  



5. Seleccione Solicitud de bloqueo y haga clic en Aceptar. 



6. Agregue la cadena “ (?=.*autodiscover)(?=.*powershell) ” (sin incluir las comillas).
7. Seleccione Expresión regular en Uso .
8. Seleccione Cancelar solicitud en Cómo bloquear y luego haga clic en Aceptar.


9. Expanda la regla y seleccione la regla con el patrón: (?=.*autodiscover)(?=.*powershell) y haga clic en Editar en Condiciones.



10. Cambie la entrada de Condición de {URL} a {UrlDecode:{REQUEST_URI}} y luego haga clic en Aceptar. 


NOTA: Si necesita cambiar alguna regla, es mejor eliminarla y volver a crearla.

Impacto: no se conoce ningún efecto en la funcionalidad de Exchange si se instala la reescritura de URL como se recomienda. 

Deshabilitar el acceso remoto a PowerShell para no administradores

Recomendamos encarecidamente a los clientes de Exchange Server que deshabiliten el acceso remoto a PowerShell para los usuarios que no sean administradores de su organización. La guía sobre cómo hacer esto para un solo usuario o múltiples usuarios está disponible aquí .  

Detección y caza avanzada

Para obtener orientación sobre la detección y la búsqueda avanzada, los clientes deben consultar Análisis de ataques mediante las vulnerabilidades de Exchange CVE-2022-41040 y CVE-2022-41082 .


FUENTE: msrc-blog.microsoft.com

-

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)

Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

 Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones. Much...