Microsoft Exchange se ha visto afectado por cuatro vulnerabilidades Zero-Day, mismas que podrían ser aprovechadas por los actores de amenaza para la ejecución remota de código arbitrario o revelar información confidencial sobre las instalaciones afectadas.
Estas vulnerabilidades Zero-Day fueron reveladas por la Iniciativa de Día Cero (ZDI – Zero Day Initiative) de Trend Micro. Estas vulnerabilidades no han sido asignadas con un identificador CVE, sin embargo, ZDI las publicó bajo sus propios ID de seguimiento.
Detalle de vulnerabilidades
- ZDI-23-1578 → Puntaje base CVSS: 7.5 (alta)
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Microsoft Exchange. Se requiere autenticación para aprovechar esta vulnerabilidad.
El problema reside en la clase ChainedSerializationBinder debido a la falta de validación adecuada de los datos ingresados por el usuario, lo que puede llevar a la deserialización de datos no confiables y permitir que un atacante ejecute código arbitrario como “SYSTEM”, el nivel más alto de privilegios en Windows.
- ZDI-23-1579 → Puntaje base CVSS: 7.1 (alta)
Esta vulnerabilidad permite a atacantes remotos revelar información sensible en las instalaciones afectadas de Microsoft Exchange. Se requiere autenticación para explotar esta vulnerabilidad.
La falla se encuentra en el método DownloadDataFromUri, se debe a la falta de validación adecuada de una URI antes de acceder a los recursos. Los atacantes pueden aprovechar esta vulnerabilidad para acceder a información confidencial desde los servidores de Exchange.
- ZDI-23-1580 → Puntaje base CVSS: 7.1 (alta)
Esta vulnerabilidad permite a atacantes remotos revelar información sensible en las instalaciones afectadas de Microsoft Exchange. Se requiere autenticación para explotar esta vulnerabilidad.
La falla se encuentra en el método DownloadDataFromOfficeMarketPlace, se debe a la falta de validación adecuada de una URI. Puede ser aprovechada por un atacante para revelar información confidencial en el contexto del servidor Exchange.
- ZDI-23-1581 → Puntaje base CVSS: 7.1 (alta)
Esta vulnerabilidad permite a atacantes remotos revelar información sensible en instalaciones afectadas de Microsoft Exchange. Se requiere autenticación para explotar esta vulnerabilidad.
La falla se encuentra en el método CreateAttachmentFromUri, debido a la falta de validación adecuada de una URI. Puede ser aprovechada por un atacante para revelar información confidencial en el contexto del servidor Exchange.
Productos y versiones afectadas
- Microsoft Exchange Server 2019 y 2016 (KB5029388)
Solución
- Para ZDI-23-1578: Aplica el parche específico de Microsoft mencionado en las actualizaciones de seguridad de agosto.
- Para ZDI-23-1579, ZDI-23-1580, ZDI-23-1581: Estas vulnerabilidades requieren que los atacantes tengan acceso previo a las credenciales de correo electrónico. La propuesta de mitigación de ZDI consiste en restringir la interacción con la aplicación para evitar la explotación de estas vulnerabilidades.
Recomendaciones
- Aplicar las últimas actualizaciones de seguridad disponibles.
- Implementar autenticación multifactor para evitar que los ciberdelincuentes accedan a instancias de Exchange incluso cuando las credenciales de la cuenta se hayan visto comprometidas.
Referencias