Alerta por vulnerabilidad en Microsoft Exchange

El centro de coordinación internacional para la divulgación de vulnerabilidades ha alertado acerca de este crítico error

El Centro de Coordinación CERT (CERT/CC) ha lanzado un aviso de vulnerabilidad para las versiones de Microsoft Exchange 2013 y posteriores. Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, el problema en el servicio en línea de Microsoft se trata de una vulnerabilidad a ataques de retransmisión de NTLM.

El problema, que aún no ha sido parcheado y no parece tener una forma de mitigación, existe debido a una falla en el software de Microsoft Exchange para establecer distintivos de firma y sellado en el tráfico de autenticación NTLM. Acorde a los especialistas en seguridad en redes, los atacantes remotos obtengan privilegios del servidor de Exchange. Este error es especialmente riesgoso para Microsoft Exchange, pues se otorgan amplios privilegios de forma predeterminada.

“Los privilegios del servidor de Exchange obtenidos gracias a esta vulnerabilidad se pueden usar para obtener privilegios de Administrador de Dominio para el dominio que contiene el servidor de Exchange comprometido”, menciona la alerta de seguridad del CERT/CC.

En consecuencia, un atacante en posesión de las credenciales de un buzón de Exchange también es capaz de comunicarse con un Exchange Server y un controlador de dominio de Windows para obtener privilegios de administrador de dominio. Además, expertos en seguridad en redes mencionan que completar este ataque es posible incluso si el hacker no cuenta con las contraseñas del buzón de Exchange.

El CERT/CC recomienda dos posibles mitigaciones de riesgos. La primera es deshabilitar las suscripciones push/pull de EWS; además, el usuario podría eliminar los privilegios que Exchange tiene en el objeto de dominio.

(Visited 420,1 times)