Todas las versiones de Microsoft Exchange Server son vulnerables a CVE-2020-0688; exploit ya disponible

A través de la plataforma de divulgación de vulnerabilidades Zero Day Initiative (ZDI), especialistas en seguridad de aplicaciones web reportaron una falla de seguridad crítica en todas las versiones de Microsoft Exchange Server que reciben soporte actualmente. De ser explotada, la vulnerabilidad permitiría a los actores de amenaza falsificar comunicaciones por email corporativo a voluntad. La falla fue identificada como CVE-2020-0688.

El reporte fue presentado a ZDI por un investigador anónimo. Sin embargo, los detalles técnicos sobre la explotación se han filtrado en Internet, por lo que los grupos de hackers maliciosos podrían comenzar a explotar esta falla en escenarios reales, exponiendo a millones de usuarios. Microsoft ha lanzado una alerta de seguridad para solicitar a los usuarios instalar los parches de seguridad, lanzados hace algunos días.

Los parches de actualización para esta vulnerabilidad fueron lanzados desde el 18 de febrero como parte del paquete mensual de actualizaciones de Microsoft de febrero. No obstante, esto no quiere decir que todas las organizaciones afectadas los instalen de inmediato, puesto que en ocasiones se aplazan las actualizaciones para evitar periodos largos de inactividad o efectos secundarios imprevistos, por lo que miles de implementaciones podrían seguir expuestas.

A pesar de que el seguridad de aplicaciones web anónimo mencionó que la explotación requiere autenticación de usuario, existen múltiples métodos para extraer credenciales de inicio de sesión de un usuario objetivo, por lo que esto es un contratiempo menor. Además, el reporte especifica que las compañías que presentan Exchange directamente a Internet corren mayor riesgo.

Aparentemente, la falla reside en el componente del panel de control de Exchange y existe debido a una razón bastante simple: En lugar de tener claves generadas aleatoriamente por cada instalación, todas las instalaciones de Exchange Server tienen los mismos valores validationKey y decryptionKey en web.config.  

Estas claves se usan para proporcionar seguridad a ViewState, que son los datos del lado del servidor que las aplicaciones web ASP.NET almacenan en formato serializado en el cliente. El cliente devuelve estos datos al servidor mediante el parámetro _VIEWSTATE. Debido al uso de claves estáticas, un hacker autenticado puede engañar al servidor para que deserialice datos ViewState creados con fines maliciosos.

Especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los administradores de implementaciones expuestas parchear sus sistemas a la brevedad.