Microsoft identifica dos vulnerabilidades: la primera activa la segunda y están siendo explotadas

Las vulnerabilidades han sido descubiertas por los cibercriminales antes que por el proveedor del servicio y aún no tiene una solución.

MADRID, 30 Sep. (Portaltic/EP) -Microsoft está investigando dos vulnerabilidades de día cero en Exchange que actualmente estarían siendo el objetivo de varios ataques, por lo que ha asegurado que trabaja en un parche que las soluciones.

Las dos vulnerabilidades afectan a Microsoft Exchange Server 2013, 2016 y 2019, identificadas como de día cero, es decir, que ha sido descubierta por los cibercriminales antes que por el proveedor del servicio y aún no tiene una solución.

La primera de ellas se ha registrado como CVE-2022-41040, como una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF), mientras que la segunda, CVE-2022-41082, permitiría la ejecución remota de código cuando el atacante puede acceder a PowerShell.

Lo que destaca la compañía tecnológica en el blog del Centro de respuestas de seguridad es que la primera vulnerabilidad permitiría al atacante autenticarse en el sistema para activar de forma remota la segunda. Microsoft también ha reconocido que ha detectado ataques dirigidos contra ambas vulnerabilidades.

Actualmente no existe corrección para las vulnerabilidad, pero Microsoft asegura que está trabajando en ella y que, mientras tanto, confía en sus sistemas para detectar y mitigar la actividad maliciosa que pueda afectar a sus clientes.

La firma de seguridad GTSC identificó en agosto una infraestructura que estaba siendo atacada aprovechando las vulnerabilidades que reseña Microsoft, como recogen en TechCrunch.

En su análisis, los investigadores de GTSC explican que, aunque pudieron mitigarlo para este cliente, "el equipo de ataque también utilizó varias técnicas para crear puertas traseras en el sistema afectado y realizar movimientos laterales a otros servidores del sistema".