Servidores Exchange siguen vulnerables a ProxyNotShell

Recientemente se ha evidenciado tras una investigación de Shadowserver Foundation a finales de diciembre del 2022, que aún se encuentran vulnerables al menos 70.000 instancias de implementaciones de Microsoft Exchange Server que no han sido parchadas para mitigar las amenazas que se originan a través de las vulnerabilidades rastreadas con los CVEs:

• CVE-2022-41040
• CVE-2022-41080
• CVE-2022-41082

Ilustración 1: Países con instancias de Servidores Exchange vulnerables
Fuente: Fundación Shadowserver

De acuerdo a la ilustración anterior los datos revelan una disminución de la cantidad servidores vulnerables respectos a los informados en diciembre del 2022 (83.946), sin embargo, aún se evidencia gran número de éstos sin parche, en donde la mayor cantidad se encuentran en Europa (31.578), seguida de América del Norte (18.210) y Asia (6.692), al 2 de enero del 2023.

ProxyNotShell 

Al igual que su predecesor ProxyShell, no es una vulnerabilidad única, sino una colección de vulnerabilidades que se pueden encadenar para obtener el control de los servidores de correo electrónico de Microsoft Exchange. Dado que afectan a las últimas versiones de Exchange Server, las vulnerabilidades de ProxyNotShell se consideran vulnerabilidades de día cero.

La vulnerabilidad en la cadena de explotación de ProxyNotShell es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) no autenticada que se encuentra en la interfaz de detección automática de Exchange. Tiene un puntaje CVSS de 8.8 (Alto). Los ciberactores explotan la vulnerabilidad CVE-2022-41040 para enviar una solicitud arbitraria con un URI controlado y datos controlados a un servicio de back-end arbitrario con privilegio LocalSystem.

Por otra parte, la vulnerabilidad en la cadena ProxyNotShell bajo el CVE-2022-41082, es una vulnerabilidad de ejecución remota de código que se encuentra en el backend de Exchange PowerShell. Tiene un puntaje CVSS de 8.8 (Alto). Después de eludir la autenticación abusando de CVE-2022-41040, los ciberactores explotan CVE-2022-41082 para ejecutar comandos arbitrarios en servidores de Exchange vulnerables.

Ilustración 3: Muestra registros de IIS de una explotación exitosa de vulnerabilidades de ProxyShell en 2021
Fuente: https://www.picussecurity.com/

Acciones disponibles

Si bien Microsoft se tomó su tiempo para lanzar los parches de estas vulnerabilidades en noviembre del 2022, durante el proceso proporcionó medidas de mitigación que evitaban la reescritura de la URL. Sin embargo, en diciembre, los investigadores de Crowdstrike descubrieron OWASSRF, una forma de eludir esa mitigación y que permite a los ciberactores autenticados realizar ejecución remota de código (RCE) a través de Outlook Web Access (OWA),y aprovechar AnyDesk y Plink para mantener el acceso. 

En relación a lo anterior uno de los ciberactores que recientemente se descubrió usando ésta táctica fue  Ransomware Play, que usa activamente la técnica para eludir las mitigaciones de reescritura de URL de ProxyNotShell y obtener la ejecución remota de código (RCE).

De acuerdo a lo anterior, dado que las medidas de mitigación se pueden evadir  se recomienda proceder al parchado de los productos afectados. 

Puede ingresar al siguiente enlace para ver las últimas actualizaciones disponibles:

https://learn.microsoft.com/es-es/exchange/new-features/updates?view=exchserver-2019

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Los clientes deben consultar la publicación del Centro de respuestas de seguridad de Microsoft para conocer las últimas mitigaciones para el producto Exchange en el siguiente enlace: https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
• Los clientes de Microsoft Exchange Server que utilizan microsoft 365, se recomienda seguir la siguiente lista de verificación:
  • Active la protección proporcionada por la nube en Microsoft Defender Antivirus o el equivalente de su producto antivirus para cubrir las herramientas y técnicas de los atacantes en rápida evolución. Las protecciones de aprendizaje automático basadas en la nube bloquean una gran mayoría de variantes nuevas y desconocidas.
  • Active las funciones de protección contra manipulaciones para evitar que los atacantes detengan los servicios de seguridad.
  • Ejecute EDR en modo de bloqueo para que Microsoft Defender para Endpoint pueda bloquear artefactos maliciosos, incluso cuando su antivirus que no sea de Microsoft no detecte la amenaza o cuando Microsoft Defender Antivirus se esté ejecutando en modo pasivo. EDR en modo de bloqueo trabaja entre bastidores para remediar los artefactos maliciosos que se detectan después de la infracción.
  • Active la protección de red para evitar que las aplicaciones o los usuarios accedan a dominios maliciosos y a otros contenidos maliciosos en Internet.
  • Habilite la investigación y reparación en modo totalmente automatizado para permitir que Microsoft Defender for Endpoint tome medidas inmediatas sobre las alertas para resolver las infracciones, reduciendo significativamente el volumen de alertas.
  • Utilice la detección de dispositivos para aumentar la visibilidad de la red mediante la búsqueda de dispositivos no administrados en la red y su incorporación a Microsoft Defender for Endpoint.