Nuevos Zero-Day de Microsoft Exchange permiten RCE y ataques de robo de datos

Microsoft Exchange se ve afectado por cuatro vulnerabilidades de día cero que los atacantes pueden explotar de forma remota para ejecutar código arbitrario o revelar información confidencial sobre las instalaciones afectadas.

Las vulnerabilidades Zero-Day fueron reveladas ayer por la Iniciativa de Día Cero (ZDI) de Trend Micro, quien las informó a Microsoft los días 7 y 8 de septiembre de 2023.

A pesar de que Microsoft reconoció los informes, sus ingenieros de seguridad decidieron que las fallas no eran lo suficientemente graves como para garantizar un servicio inmediato, posponiendo las correcciones para más adelante.

ZDI no estuvo de acuerdo con esta respuesta y decidió publicar las fallas bajo sus propios ID de seguimiento para advertir a los administradores de Exchange sobre los riesgos de seguridad.

A continuación se puede encontrar un resumen de las fallas:

ZDI-23-1578: una falla de ejecución remota de código (RCE) en la clase ‘ChainedSerializationBinder’, donde los datos del usuario no se validan adecuadamente, lo que permite a los atacantes deserializar datos que no son de confianza. La explotación exitosa permite a un atacante ejecutar código arbitrario como ‘SISTEMA’, el nivel más alto de privilegios en Windows.
ZDI-23-1579: ubicada en el método ‘DownloadDataFromUri’, esta falla se debe a una validación insuficiente de un URI antes del acceso a los recursos. Los atacantes pueden aprovecharlo para acceder a información confidencial desde los servidores de Exchange.
ZDI-23-1580: esta vulnerabilidad, en el método ‘DownloadDataFromOfficeMarketPlace’, también se debe a una validación de URI incorrecta, lo que podría conducir a la divulgación de información no autorizada.
ZDI-23-1581: presente en el método CreateAttachmentFromUri, esta falla se parece a los errores anteriores con una validación de URI inadecuada, lo que nuevamente pone en riesgo la exposición de datos confidenciales.

Todas estas vulnerabilidades requieren autenticación para su explotación, lo que reduce su clasificación CVSS de gravedad entre 7,1 y 7,5. Además, exigir autenticación es un factor de mitigación y posiblemente la razón por la que Microsoft no dio prioridad a la corrección de errores.

Sin embargo, cabe señalar que los ciberdelincuentes tienen muchas formas de obtener credenciales de Exchange, incluida la fuerza bruta de contraseñas débiles, realizar ataques de phishing, comprarlas o adquirirlas de registros de ladrones de información.

Dicho esto, los días cero anteriores no deben considerarse sin importancia, especialmente ZDI-23-1578 (RCE), lo que puede resultar en un compromiso completo del sistema.

ZDI sugiere que la única estrategia de mitigación destacada es restringir la interacción con las aplicaciones de Exchange. Sin embargo, esto puede resultar inaceptablemente perjudicial para muchas empresas y organizaciones que utilizan el producto.

También sugerimos implementar autenticación multifactor para evitar que los ciberdelincuentes accedan a instancias de Exchange incluso cuando las credenciales de la cuenta se hayan visto comprometidas.

Actualización 4/11: un portavoz de Microsoft respondió a la solicitud de BleepingComputer de un comentario con la siguiente declaración:

Apreciamos el trabajo de este buscador al enviar estos problemas bajo una divulgación coordinada de vulnerabilidades y estamos comprometidos a tomar las medidas necesarias para ayudar a proteger a los clientes.

Hemos revisado estos informes y hemos descubierto que ya se han solucionado o que no cumplen con los requisitos para el servicio inmediato según nuestras pautas de clasificación de gravedad y evaluaremos abordarlos en futuras versiones y actualizaciones del producto, según corresponda.

Además, Microsoft proporcionó el siguiente contexto adicional sobre cada una de las fallas descubiertas:

Respecto a ZDI-23-1578: los clientes que aplicaron las actualizaciones de seguridad de agosto ya están protegidos.
Con respecto a ZDI-23-1581: la técnica descrita requiere que un atacante tenga acceso previo a las credenciales de correo electrónico y no se presentó evidencia de que pueda aprovecharse para obtener elevación de privilegios.
Respecto a ZDI-23-1579: la técnica descrita requiere que un atacante tenga acceso previo a las credenciales de correo electrónico.
Respecto a ZDI-23-1580: la técnica descrita requiere que un atacante tenga acceso previo a las credenciales de correo electrónico y no se presentó evidencia de que pueda aprovecharse para acceder a información confidencial del cliente.

Fuente y redacción: segu-info.com.ar

Microsoft lanza parche para la vulnerabilidad de 0-Day de Windows explotada activamente

Hackers de Lapsus$ filtran 37 GB del supuesto código fuente de Microsoft

Actualizaciones de seguridad de Microsoft de noviembre 2021 con dos Zero-Day explotados activamente