Investigadores reportan la detección de múltiples intentos de explotación de ProxyShell, un conjunto de fallas de ejecución remota de código en Microsoft Exchange divulgadas durante la conferencia de ciberseguridad Black Hat. ProxyShell se compone de tres vulnerabilidades que los actores de amenazas remotos no autenticados podrían encadenar para ejecutar código malicioso en las implementaciones afectadas de Exchange.
A continuación se describen las tres fallas que integran este reporte:
- CVE-2021-34473: Confusión de ruta previa a la autenticación que podría conducir a la evasión de ACL
- CVE-2021-34523: Escalada de privilegios en el backend de Exchange PowerShell
- CVE-2021-31207: Vulnerabilidad de escritura de archivos posterior a la autenticación que podría conducir a la ejecución remota de código
Según los reportes, las vulnerabilidades podrían ser explotadas de forma remota por actores de amenazas no autenticados a través de Client Access Service (CAS) de Microsoft Exchange, utilidad ejecutada en el puerto 433 de ISS.
Estas tres fallas fueron reportadas por el especialista Orange Tsai, de Devcore. El jueves pasado, el investigador presentó sus hallazgos en Black Hat, compartiendo algunos detalles sobre la explotación de estas fallas en Exchange.
El investigador explicó que la explotación de ProxyShell se basa en el uso de múltiples componentes en Microsoft Exchange, incluyendo el servicio de detección automática empleado en las aplicaciones cliente para su configuración. Lo insólito es que, durante su presentación, Orange Tsai compartió algunos detalles que resultaron útiles para determinar un método de explotación.
El especialista en ciberseguridad Kevin Beaumont fue uno de los primeros investigadores en detectar intentos de explotación activa, recomendando a los usuarios bloquear 185.18.52.155 para evitar que los actores de amenazas detecten las implementaciones Microsoft Exchange vulnerables de forma automática, mitigando el riesgo de explotación.
Si bien ya existían algunos exploits para estas fallas, fue posible para los actores de amenazas mejorar sus ataques gracias a la información revelada por Orange Tsai. Al parecer, los atacantes dividieron una solicitud de trabajo para detectar un sistema vulnerable activando la compilación de la aplicación web ASP.NET
Para la mitigación completa del riesgo de ataque, los especialistas recomiendan instalar las actualizaciones emitidas por la compañía. Actualmente existen cientos de miles de implementaciones vulnerables, por lo que se recomiendan a los usuarios de Microsoft Exchange actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
