US CISA agrega el error de elevación de privilegios de Microsoft Exchange CVE-2022-41080 a su catálogo de vulnerabilidades explotadas conocidas.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó dos nuevas vulnerabilidades.

La primera vulnerabilidad catalogada como CVE-2022-41080 (CVSS 8.8), es una vulnerabilidad de escalada de privilegios del servidor de Microsoft Exchange. Esta vulnerabilidad se puede encadenar con CVE-2022-41082 (CVSS 8.8) también conocida como ProxyNotShell, lo que permite la ejecución remota de código.

Esta vulnerabilidad fue explotada por el grupo de ransomware Play en un ataque reciente contra el proveedor de servicios en la nube Rackspace. Para obtener acceso inicial a Rackspace Hosted Microsoft Exchange, los atacantes explotaron un exploit de seguridad previamente desconocido denominado OWASSRF que consta de CVE-2022-41080 y CVE-2022-41082 para lograr la ejecución remota de código (RCE) a través de Outlook Web Access (OWA).

La nueva cadena de explotación pasa por alto las mitigaciones de Microsoft para las vulnerabilidades de ProxyNotShell.

Los defectos de ProxyNotShell son:

• CVE-2022-41040: vulnerabilidad de elevación de privilegios de Microsoft Exchange Server.
• CVE-2022-41082: vulnerabilidad de ejecución remota de código de Microsoft Exchange Server.

Es probable que otros grupos de ransomware podrían explotar la misma cadena de exploits.

La segunda falla catalogada como CVE-2023-21674 (CVSS 8.8) es una vulnerabilidad de escalada de privilegios de día cero en Windows Advanced Local Procedure Call (ALPC). Un atacante puede aprovechar esta vulnerabilidad para obtener todos los privilegios del sistema.

CVE-2023-21674 afecta a los sistemas que ejecutan Windows 8, Windows 10, Windows 11, Windows Server 2016, Windows Server 2019 y Windows Server 2022.

Microsoft solucionó esta vulnerabilidad de día cero con el lanzamiento de Microsoft Patch Tuesday el 10 de enero del 2023.

Recomendaciones

• Implementar las últimas actualizaciones de seguridad de Exchange o deshabilitar Outlook Web Access (OWA) hasta que puedan aplicar los parches CVE-2022-41080.
• Aplicar el parche de seguridad de Microsoft Update lanzado el martes 10 de enero del 2023.

Referencias

• https://securityaffairs.com/140647/security/cisa-known-exploited-vulnerabilities-catalog-cve-2022-41080.html?utm_source=dlvr.it&utm_medium=twitter
• https://www.bleepingcomputer.com/news/security/cisa-orders-agencies-to-patch-exchange-bug-abused-by-ransomware-gang/
• https://securityonline.info/cisa-adds-cve-2023-21674-vulnerability-to-exploited-catalog/
• https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• https://nvd.nist.gov/vuln/detail/CVE-2022-41080
• https://nvd.nist.gov/vuln/detail/CVE-2022-41082
• https://nvd.nist.gov/vuln/detail/CVE-2023-21674