Vulnerabilidad crítica en Microsoft Exchange Server 2019 permite ejecución de código remoto (CVE-2022-23277)
11 de marzo de 2022 por Yhojann Aguilera Aguayo en Vulnerabilidades.
Resumen
En Chile existe la gran preocupación entre distintas entidades importantes, debido a una vulnerabilidad crítica que podría poner en riesgo la continuidad de sus operaciones.
Se publicó un problema de seguridad crítico en Microsoft Exchange 2019 el cual permite la ejecución de código remoto, esto quiere decir que un atacante desde internet tiene la posibilidad de acceder a la información interna del servicio de correos, modificar o eliminar información, también podría ejecutar comandos sin autorización dentro del Sistema Operativo.
Desde Microsoft indican que ya existe una prueba de concepto que permite explotar esta vulnerabilidad, por lo cual pueden existir atacantes que ya lo estén aprovechando en servidores vulnerables.
El riesgo
Esta vulnerabilidad tiene un valor de riesgo de 9.9 (Crítico) en la tabla de criticidad de la CVSS3, tal comos e puede observar a continuación:
Dato | Valor |
---|---|
Vector de ataque | Red |
Complejidad del ataque | Bajo |
Privilegios requeridos | Bajo |
Interacción con el usuario | Ninguno |
Alcance | Cambia |
Impacto a la confidencialidad | Alto |
Impacto a la integridad | Alto |
Impacto a la disponibilidad | Alto |
Algunas fuentes
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23277
- https://nvd.nist.gov/vuln/detail/CVE-2022-23277
Análisis del impacto
El título de la vulnerabilidad indica que es posible la ejecución de código, pero ¿cómo es esto posible?: Realmente no es un problema de desbordamiento de memoria o un puntero mal gestionado, sino mas bien de elevación de privilegios debido a un problema en el control de la autorización de ciertas funcionalidades que permiten a un usuario sin privilegios tener un rol máximo permitiendo así realizar cambios sobre la consola de configuración de Microsoft Exchange y ejecutar comandos de manera directa sobre el Sistema Operativo que lo aloja.
Por lo cual ¿que podría hacer un atacante con esto?: Básicamente acceder a cualquier información alojada en el servidor ya que debemos recordar que Microsoft Exchange tiene la pésima práctica de seguridad de utilizar un usuario con privilegios elevados dentro del Sistema Operativo (NT AUTHORITY\SYSTEM), en ves de ejecutarse con algún usuario restringido únicamente para Microsoft Exchange. Esto permite que un atacante no solo pueda acceder a los datos alojados sino también intentar acceder a otros servidores dentro de la misma red impactando así a la infraestructura de la compañía.
Debemos recordar también que en muchas ocaciones se envían contraseñas y documentos confidenciales por correo electrónico y todos estos datos pueden serse afectados, más aun cuando estas contraseñas son reutilizadas en otros sistemas, los cuales permitan a un atacante tomar control de toda la infraestructura de la compañía como por ejemplo, el Active Directory.
Recomendaciones a los usuarios
Primero que nada esta vulnerabilidad ha sido solucionada hace muy poco, asi que la recomendación es muy clara, se debe actualizar el Software vulnerable lo antes posible para evitar una incidencia mayor.
La actualización de un Sistema no solamente cuenta con cambios a nivel de experiencia de usuario sino también de seguridad, por eso se recomienda mantener los sistemas y aplicaciones siempre actualizados.
Como segunda medida, como esta vulnerabilidad puede ser aprovechada de manera remota, se recomienda realizar un análisis de sistema o forense a la brevedad para determinar sin en la actualidad existió algún ataque que haya podido afectar a los datos confidenciales de los correos almacenados, si este fuese el caso se recomienda activar un procedimiento de seguridad para el cambio de credenciales de manera masiva de los sistemas de la compañía.
Como última recomendación, se debe recordar que el correo electrónico no es un canal 100% seguro, por lo cual se debe evitar el envío de credenciales o información crítica a traves de este medio, pero en caso contrario se recomienda eliminar estos correos al momento de recibirlos y realizar un limpiado periódico de los posibles mensajes que pudiesen ser perjudiciales en una filtración de datos.
¿Deseas comentar este artículo?
Únete a la conversación en nuestro grupo de Telegram y comparte tu opinión. Tambien puedes compartirnos tus artículos en nuestro repositorio público.