Desde AndalucíaCERT les informamos que la empresa Microsoft ha confirmado la existencia de dos vulnerabilidades críticas de tipo zero-day que afectan a los servidores de correo Exchange: CVE-2022-41040 (vulnerabilidad de falsificación de solicitud del lado del servidor) y CVE-2022-41082 (ejecución remota de código). Hasta el momento se encuentran en fase de investigación, por lo que no se han liberado parches de seguridad que permitan corregir ambas debilidades.

Desde AndalucíaCERT debemos indicarles que estas vulnerabilidades están siendo activamente explotadas por los cibercriminales.

Sistemas afectados:

• Microsoft Exchange Server 2013
• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019

Debido al riesgo potencial que presentan estas vulnerabilidades, desde AndalucíaCERT se recomienda:

• Por ahora, al no contar con parches de seguridad proporcionados por el fabricante, les recomendamos estar atentos a la publicación de los mismos y aplicar las mitigaciones que se indican a continuación.

Mitigaciones:

• Microsoft ha liberado instrucciones para aplicar una regla de bloqueo mediante el esquema URL Rewrite, de tal forma que se evite la explotación de estas vulnerabilidades. Pueden encontrar los detalles aquí. Junto a dicha regla, Microsoft ha publicado un script para facilitar su despliegue.
• Deshabilitar el acceso remoto a PowerShell para usuarios no administradores de su organización. Pueden encontrar una guía de cómo hacerlo aquí.

Pueden encontrar más información en los siguientes enlaces:

• Web de parches: https://msrc.microsoft.com/update-guide
• Falsificación de solicitud del lado del servidor en Microsoft Exchange (CVE-2022-41040): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
• Ejecución remota de código en Microsoft Exchange (CVE-2022-41082): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
• Microsoft Security Response Center - Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server: https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
• Microsoft Security Threat Intelligence - Analyzing attacks using the Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082: https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/
• Microsoft Ignite - Control remote PowerShell access to Exchange servers: https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers?view=exchange-ps&viewFallbackFrom=exchange-ps%22%20%5Cl%20%22use-the-exchange-management-shell-to-enable-or-disable-remote-powershell-access-for-a-user
• Exchange On-premises Mitigation Tool v2 (EOMTv2): https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.