La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha agregado hoy dos vulnerabilidades de seguridad más a su catálogo de errores explotados.
El primero es un error de elevación de privilegios de Microsoft Exchange rastreado como CVE-2022-41080 que se puede encadenar con el error CVE-2022-41082 ProxyNotShell para obtener la ejecución remota de código.
El proveedor de computación en la nube con sede en Texas, Rackspace, confirmó hace una semana que la banda de ransomware Play lo aprovechó como un día cero para eludir las mitigaciones de reescritura de URL de ProxyNotShell de Microsoft y escalar los permisos en los servidores de Exchange comprometidos.
El exploit utilizado en el ataque, denominado OWASSRF por los investigadores de seguridad de CrowdStrike que lo detectaron, también se compartió en línea con algunas de las otras herramientas maliciosas del ransomware Play.
Es probable que esto facilite a otros ciberdelincuentes crear sus propias vulnerabilidades personalizadas o adaptar la herramienta del ransomware Play para sus propios fines, lo que aumenta la urgencia de actualizar la vulnerabilidad lo antes posible.
Se recomienda a las organizaciones con servidores de Microsoft Exchange locales que implementen las últimas actualizaciones de seguridad de Exchange de inmediato (siendo noviembre de 2022 el nivel de parche mínimo) o deshabiliten Outlook Web Access (OWA) hasta que puedan aplicar los parches CVE-2022-41080.
La segunda vulnerabilidad que CISA agregó a su catálogo de vulnerabilidades conocidas explotadas (KEV) es una escalada de privilegios de día cero ( CVE-2023-21674 ) en Windows Advanced Local Procedure Call (ALPC), etiquetada como explotada en ataques y parcheada por Microsoft durante el martes de parches de este mes.
Las agencias federales tienen que parchear hasta finales de enero.
Una directiva operativa vinculante BOD 22-01 emitida por CISA en noviembre de 2021 requiere que todas las agencias de la Rama Ejecutiva Civil Federal (FCEB) aseguren sus redes contra errores agregados al catálogo KEV.
Hoy, CISA le dio a las agencias FCEB tres semanas, hasta el 31 de enero, para abordar las dos fallas de seguridad y bloquear posibles ataques dirigidos a sus sistemas.
Si bien esta directiva solo se aplica a las agencias federales de EE. UU., CISA también instó encarecidamente a todas las organizaciones a corregir estas vulnerabilidades para frustrar los intentos de explotación.
“Este tipo de vulnerabilidades son vectores de ataque frecuentes para ciberactores malintencionados y representan riesgos significativos para la empresa federal”, advirtió hoy CISA.
Desde que se emitió la directiva BOD 22-01, CISA agregó más de 800 fallas de seguridad a su lista de errores explotados en la naturaleza, lo que requiere que las agencias federales los aborden en un cronograma más estricto para evitar posibles violaciones de seguridad.
Fuente y redacción: bleepingcomputer.com
