Sistemas Afectados

• Microsoft Exchange (2013, 2016, 2019)

Descripción

Microsoft ha confirmado dos vulnerabilidades de Día Cero (Zero-Day) con los identificadores de nivel crítico CVE-2022-41040 y CVE-2022-41082, estas vulnerabilidades afectan servidores de Microsoft Exchange On-Premise en las versiones 2013, 2016 y 2019, debido a que permiten que un atacante ejecute código de manera remota (RCE) en los servidores Exchange On-Premise vulnerables, permitiendo el acceso a las cuentas de correos y la instalación de malware directamente en el servidor, utilizando tácticas de explotación en cadenas similares a los usadas en ataques de ProxyShell. Una limitante en la explotación de estas vulnerabilidades es que el atacante necesita estar autenticado en el servidor vulnerable de Exchange.

Referencia

• CVE-2022-41040
• CVE-2022-41082
• https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

Mitigación

Microsoft recomienda que, para mitigar los riesgos de estas vulnerabilidades, se debe realizar las siguientes acciones:

Ir a IIS Manager >
Expandir el Default Web Site >
En la función de Vista proceder a darle clic a URL Rewrite >
Bloquear patrones de ataque conocidos.

También se recomienda bloquear los puertos utilizados para ese tipo de ataques, los cuales son:

• HTTP: 5985
• HTTPS: 5986