Esta falla de escalada de privilegios permitiría a un atacante remoto hacerse pasar por un administrador
Microsoft ha confirmado la existencia de una vulnerabilidad de escalada de privilegios en el servidor de Exchange considerada crítica. Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, esta falla podría permitir que un hacker con una cuenta de buzón simple obtenga privilegios de administrador.
Tanto Microsoft como el US-CERT habían alertado en días recientes sobre esta falla, conocida como ‘PrivExchange’, mencionando que cuenta con un puntaje de 8.3/10 en la escala Common Vulnerability Scoring System (CVSS). Acorde a expertos, la vulnerabilidad existe debido a múltiples fallas en las configuraciones predeterminadas, en el servidor email y de calendario de Exchange Server. La vulnerabilidad afecta a las versiones 2013 y posteriores.
Microsoft aún no ha lanzado parches de actualización para corregir esa vulnerabilidad, sin embargo, especialistas en seguridad en redes mencionan que existen otros métodos de mitigación de riesgos.
Hace una semana fue publicada una prueba de concepto que describe cómo un usuario de Exchange puede emplear dos herramientas escritas en Python para obtener privilegios de administrador de dominio. En respuesta, Microsoft declaró: “Para explotar esta falla el atacante tendría que ejecutar un ataque Man-in-the-Middle para reenviar una solicitud de autenticación a Exchange Server, lo que permitiría la suplantación de identidad”.
La vulnerabilidad PrivExchange fue descrita por primera vez por el experto en seguridad en redes Dirk-jan Mollema, quien desarrolló una prueba de concepto en la que explotaba algunas configuraciones predeterminadas de Exchange. Según Mollema, los atacantes pueden configurar los parámetros EWS para autenticarse en un servidor Exchange para posteriormente autenticar la cuenta usando NTML (un conjunto de protocolos de seguridad para Microsoft).
Otro error de configuración predeterminada es que Exchange no establece firmas en el tráfico de autenticación NTLM, por lo que un usuario malicioso podría realizar un ataque de reenvío de NTLM hacia otros equipos en la red del administrador.
Finalmente, los servidores tienen acceso a procesos de alto privilegio de forma predeterminada, incluido el de controlador de dominio. Con privilegios de administrador, el atacante podría obtener acceso al controlador de dominio, lo que puede ser útil para múltiples actividades de hacking.
“Debido a los privilegios concedidos por la explotación de esta vulnerabilidad, un atacante podría controlar cualquier cosa en el directorio activo, como acceso a los sistemas, lectura y modificación de datos e implementación de backdoors para asegurar la persistencia de la vulnerabilidad”, mencionó Mollema.
El especialista agregó: “Realizar este ataque es relativamente fácil, además, ya se han lanzado algunas otras implementaciones de las herramientas usadas en la prueba de concepto que permiten realizar el ataque a través de una estación de trabajo infectada”.
Microsoft no ha publicado actualizaciones para esta vulnerabilidad, aunque existen formas de mitigar los riesgos re ataque. Los posibles usuarios afectados tendrían implementaciones de OnPrem, ya que Exchange Online no está afectado; como tendrían los sistemas con NTLM, ya que los sistemas que han deshabilitado NTLM no se ven afectados.
Para abordar esta vulnerabilidad, los usuarios podrían definir y aplicar la “Política de limitación” para que las suscripciones de EWSMax tengan un valor de cero. El parámetro EwsMaxSubscriptions especifica el número máximo de suscripciones activas de “inserción y extracción” que un usuario de los Servicios web de Exchange puede tener al mismo tiempo en un servidor de Exchange específico, por lo que limitaría el número a cero y evitaría que el servidor de Exchange enviara notificaciones.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad