Se ha publicado una prueba de concepto (PoC) para la vulnerabilidad del servidor Microsoft Exchange identificada como CVE-2023-36745, que permite a los atacantes realizar ejecución remota de código. Según el aviso de seguridad de Microsoft, un atacante que aproveche esta vulnerabilidad podría realizar un ataque remoto que permita acceder a la información de la víctima y alterarla, así como posiblemente causar inactividad en el entorno objetivo.
La vulnerabilidad depende de la capacidad de Microsoft.Exchange.DxStore.Common.DxSerializationUtil.SharedTypeResolver para eludir las verificaciones del sistema. Esto activa el método Assembly.LoadFrom para cargar un ensamblado personalizado. Aprovechando la conversión de tipo de deserialización, los atacantes pueden introducir una clase maliciosa, comprometiendo el servidor Exchange y permitiendo la Ejecución Remota de Código (RCE), otorgando a los atacantes un control sin precedentes.
Para explotar la vulnerabilidad, un atacante primero necesitaría obtener acceso a la LAN del servidor de Exchange de la víctima. Una vez que tengan acceso a la LAN, podrían enviar una solicitud HTTP especialmente diseñada al servidor que aprovecharía la vulnerabilidad. Si la explotación tiene éxito, el atacante podría ejecutar código arbitrario en el sistema de la víctima.
Solución
Microsoft ha publicado las siguientes actualizaciones de seguridad para solucionar este problema:
– KB5030524
Referencias
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36745
- https://www.tenable.com/plugins/nessus/181309
- https://securityonline.info/microsoft-exchange-server-rce-cve-2023-36745-flaw-gets-poc-exploit/
- https://n1k0la-t.github.io/2023/10/24/Microsoft-Exchange-Server-CVE-2023-36745/