Pablo Florez Cyber Security Sr Engineer

Investigadores de la empresa vietnamita de ciberseguridad GTSC publicaron una advertencia en la que decían que, “mientras proporcionaba un servicio SOC a un cliente, GTSC Blueteam detectó solicitudes de exploits en los registros de IIS con el mismo formato que la vulnerabilidad ProxyShell”.
Información de la Vulnerabilidad

El 29 de septiembre, los investigadores de seguridad de Microsoft anunciaron dos nuevas vulnerabilidades de día cero, que afectan a Microsoft Exchange Server. Las vulnerabilidades permiten la ejecución remota de código (RCE) cuando se utilizan en conjunto. Es importante señalar que ambas requieren un acceso autenticado al servidor deseado antes de su explotación.

Estas dos vulnerabilidades de día cero reportadas que afectan a Microsoft Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019. La primera, identificada como CVE-2022-41040, es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF), y la segunda, identificada como CVE-2022-41082, permite la ejecución remota de código (RCE) cuando PowerShell es accesible para el atacante.

Si las organizaciones que cuentan con estos servidores desean implementar una mitigación manual basada en el aviso de Microsoft, se puede encontrar aquí. Microsoft señaló que los CVEs sólo afectan a los servidores de Exchange locales, por lo que los clientes de Exchange Online no necesitan actualmente tomar ninguna medida.

El proceso de explotación se compone de dos partes principales:

  • Solicitudes HTTP      con     un     formato     muy     similar     a     la      vulnerabilidad ProxyShell: autodiscover/autodiscover.json?@evil.com/ &Email=autodiscover/autodiscover.json%3f@evil.com.
  • El uso de la solicitud anterior para acceder a un componente en el backend donde se podría implementar el ataque RCE (Remote Code Execution).
Indicadores de Compromiso (IoC)

Nombre de archivo: pxh4HG1v.ashx, Ruta: C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx

Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

Nombre de archivo: RedirSuiteServiceProxy.aspx, Ruta: C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx

Hash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5

Nombre de archivo: Xml.ashx, Ruta: Xml.ashx

Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

Nombre    de    archivo    :    errorEE.aspx,    Ruta:        C:\Archivos    de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx

SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257

Nombre del archivo: dll.dll

Nombre del archivo: 180000000.dll

Para más información puede consultar las fuentes:

Info@etek.com

Colombia                          Perú                                   India                

+57 (1) 2571520             +51 (1) 6124343                +91-9873451221