Hace unos días se dieron a conocer dos vulnerabilidades de día cero en Microsoft Exchange que pueden impactar a tu operación, aquí te compartimos algunas recomendaciones importantes que pueden ser de gran ayuda en tus operaciones.
La vulnerabilidad ProxyNotShell, toma su nombre de la similitud que existe con ProxyShell, una vulnerabilidad de Microsoft Exchange, la cual ha sido explotado durante casi un año y para la que se han creado parches de seguridad, sin embargo, estos no han sido muy exitosos puesto que no bloquean por completo el vecto de ataque.
ProxyNotShell se aprovecha de la vulnerabilidad de Microsoft Server-Side Request Forgery (SSRF) recientemente publicada CVE-2022-41040 y una segunda vulnerabilidad, CVE-2022-41082 que permite la ejecución remota de código (RCE) cuando PowerShell está disponible para atacantes no identificados.
>>¿Qué pasó en el ataque a la SEDENA y qué podemos aprender de este hackeo?<<
Estas vulnerabilidades pueden estar presentes en tu compañía y causar graves daños a tu información, por lo que conocer las mejores formas de protegerte es un plus para ti y tus datos. Recuerda aplicar los parches de tus proveedores cuando estén disponibles y te recomendamos seguir este blog de Microsoft con recomendaciones de seguridad y mantente al tanto de las actualizaciones de tus proveedores de seguridad como la detección de IOC y la información oficial de parches.
Protección y detección de
Dado que el envío original del exploit se realizó a través de Trend Micro Zero Day Initiative, en función del análisis de la información del exploit.
Trend Micro comparte algunas reglas de detección y filtros existentes que pueden ayudar a prevenir la explotación potencial de estas vulnerabilidades.
Trend Micro Vision One
Los clientes de Trend Micro Vision One se benefician de las capacidades de detección XDR de los productos subyacentes, como Apex One.
Trend Micro Cloud One - Seguridad de red y TippingPoint ThreatDV Filtros de protección contra malware
39522 : HTTP: Vulnerabilidad SSRF de detección automática de Microsoft Exchange Server (PWN2OWN ZDI-21-821)
41776 : ZDI-CAN-18333: Vulnerabilidad de la iniciativa de día cero (Microsoft Exchange)
Trend Micro Cloud One : reglas IPS de seguridad de carga de trabajo, seguridad profunda y protección contra vulnerabilidades
1011041 : vulnerabilidad de ejecución remota de código de Microsoft Exchange Server (CVE- 2021-34473 y ZDI-CAN-18802)
1011548 : vulnerabilidad de ejecución remota de código de Microsoft Exchange Server (ZDI- CAN-18333)
Reglas de Trend Micro Deep Discovery Inspector (DDI):
4593 : EXPLOTACIÓN SSRF DE INTERCAMBIO - HTTP (SOLICITUD)
4624 : EXPLOTACIÓN DE INTERCAMBIO - HTTP (RESPUESTA)
Patrones de detección de malware de Trend Micro (VSAPI, aprendizaje predictivo, supervisión del comportamiento y WRS) para terminales, servidores, correo y puerta de enlace (p. ej., Apex One, Worry-Free Business Security Services, Worry-Free Business Security Standard/Advanced, Deep Security con Anti -malware, etc)
- El ASP Webshell asociado se detecta como Backdoor.ASP.WEBSHELL.YXCI4
- El conocido componente chino Chopper es detectado por las soluciones Trend Micro Behavior Monitoring
- Trend Micro Web Reputation Services (WRS) está bloqueando varias de las direcciones IP enumeradas en los informes GTSC a nivel de URL como cómplices de malware, vectores de enfermedades o servidores C&C.
Protección y detección de
Las vulnerabilidades se asignaron CVE-2022-41040 y CVE-2022-41082 y se calificaron con niveles de gravedad críticos e importantes, respectivamente.
Los clientes de Palo Alto Networks reciben protecciones y mitigaciones para ProxyNotShell de las siguientes maneras:
- Los firewalls de próxima generación o Prisma Access con una suscripción de seguridad de prevención de amenazas pueden bloquear sesiones relacionadas con CVE-2022-41040.
- Un paquete de respuesta y libro de jugadas de Cortex XSOAR puede automatizar el proceso de mitigación.
- Cortex Xpanse puede ayudar a identificar y detectar servidores de Microsoft Exchange que pueden ser parte de su superficie de ataque.
- Cortex XDR informará los intentos de explotación relacionados.
- Las consultas XQL proporcionadas a continuación se pueden usar con Cortex XDR para ayudar a rastrear los intentos de explotar estos CVE.
- Se agregaron direcciones URL e IP maliciosas al filtrado avanzado de direcciones URL.
- El equipo de Respuesta a Incidentes de la Unidad 42 puede proporcionar asistencia personalizada.
Para obtener más detalles revisa aquí la conclusión.
Recuerda que actualizar tus sistemas y mantenerte informado sobre las nuevas tendencias de ciberseguridad es importante, acércate a tu proveedor de servicios de protección en red y consulta el estatus de tu organización.
¿Necesitas ayuda para crear una estrategia de seguridad acorde a tu sector? Mantén tus operaciones protegidas y actualizadas con la ayuda de los expertos, agenda una cita para que podamos conversar y crear juntos tu próxima protección contra incidentes.