2 vulnerabilidades 0-day en Microsoft Exchange Server

Crítica

2 vulnerabilidades

Recursos afectados

Exchange Server 2013
Exchange Server 2016
Exchange Server 2019

Descripción

Microsoft está investigando dos vulnerabilidades de tipo 0-day que afectan a Microsoft Exchange Server. Estas vulnerabilidades podrían permitir a un ciberatacante ejecutar código de forma remota.

La primera vulnerabilidad, identificada como CVE-2022-41040, es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF), mientras que la segunda, identificada como CVE-2022-41082, permite la ejecución remota de código (RCE) cuando el atacante puede acceder a PowerShell.

Solución

En estos momentos no hay disponible una actualización o parche de seguridad que corrija estas vulnerabilidades. Mientras tanto, Microsoft recomienda aplicar una serie de medidas de mitigación.

Si no se ejecuta Microsoft Exchange on premise y no se tiene Outlook Web App con acceso a Internet, no se verá afectado.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados.

Mas información en el Centro de respuestas de seguridad de Microsoft

Actualizaciones del 2 de octubre de 2022:

Agregado a la sección Mitigaciones: recomendamos enfáticamente a los clientes de Exchange Server que deshabiliten el acceso remoto a PowerShell para usuarios que no sean administradores en su organización. La guía sobre cómo hacer esto para un solo usuario o múltiples usuarios está aquí .
Se actualizó la sección Detección para hacer referencia a Análisis de ataques mediante las vulnerabilidades de Exchange CVE-2022-41040 y CVE-2022-41082 .

Actualizaciones del 4 de octubre de 2022:

se realizaron actualizaciones importantes en la sección Mitigaciones para mejorar la regla de reescritura de URL. Los clientes deben revisar la sección Mitigaciones y aplicar una de estas opciones de mitigación actualizadas:

Opción 1: La regla EEMS se actualiza y se aplica automáticamente.
Opción 2: el script EOMTv2 proporcionado anteriormente se ha actualizado para incluir la mejora de reescritura de URL.
Opción 3: las instrucciones de la regla de reescritura de URL se han actualizado. La cadena en el paso 6 y el paso 9 ha sido revisada. Los pasos 8, 9 y 10 tienen imágenes actualizadas.

Actualizaciones del 5 de octubre de 2022:

se han realizado mejoras adicionales en la mitigación de la regla de reescritura de URL. Los clientes deben revisar y usar una de estas opciones:

Opción 1: la mitigación para la regla EEMS se ha actualizado y las actualizaciones se aplicarán automáticamente.
Opción 2: Se actualizó la mitigación para EOMTv2.
Opción 3: las instrucciones y la imagen del paso 10 se actualizan para un cambio de entrada de condición.

Se agregó en la sección Mitigaciones que los clientes de Exchange Server deben completar ambas mitigaciones recomendadas.

Actualizaciones del 6 de octubre de 2022: se lanzó una versión actualizada para EOMTv2 para eliminar un espacio adicional en el script que no afectaba la funcionalidad.

Actualizaciones del 11 de octubre de 2022: Microsoft ha publicado actualizaciones de seguridad (SU) para vulnerabilidades encontradas en Microsoft Exchange Server 2013, 2016 y 2019
Ver actualizaciones de seguridad