Los
Zero-Days dirigidos a Microsoft este mes
incluyen CVE-2023-36025 (CVSSv3 de 8,8), una debilidad que permite que el contenido malicioso
eluda la función de seguridad SmartScreen de Windows. SmartScreen es un
componente integrado de Windows que intenta detectar y bloquear sitios web y
archivos maliciosos.
Según Microsoft, se explotó en la naturaleza como un día ceroy dice
que los atacantes podrían explotarla haciendo que un usuario de Windows haga
clic en un enlace trampa a un archivo de acceso directo. Un atacante podría aprovechar esta falla creando un archivo de acceso directo a Internet (.URL) malicioso y convenciendo a un objetivo para que haga clic en el archivo o en un hipervínculo que apunte a un archivo.URL. Una explotación exitosa daría como resultado eludir los controles de seguridad en Windows Defender SmartScreen.
Más allá de los Zero-Days solucionado por Microsoft el martes, Kevin Breen,
director senior de investigación de amenazas en Immersive Labs, dijo que las
organizaciones que ejecutan Microsoft Exchange Server deberían priorizar
varios parches nuevos de Exchange, incluido
CVE-2023-36439 (CVSSc2 8,0), que es un error que permitiría a los atacantes instalar software malicioso
en un servidor Exchange.
Esta debilidad técnicamente requiere que el atacante esté autenticado en la
red local del objetivo, pero Breen señala que un par de credenciales de
Exchange suplantadas proporcionarán ese acceso muy bien.
En este caso un atacante autenticado en un servidor Exchange vulnerable como usuario válido podría aprovechar esta vulnerabilidad para obtener RCE como NT AUTHORITYSYSTEM en el backend del buzón del servidor. Microsoft califica esta vulnerabilidad como Explotación más probable.
«Esto generalmente se logra mediante ataques de ingeniería social con
phishing para obtener acceso inicial a un host antes de buscar otros
objetivos internos vulnerables; el hecho de que su servidor Exchange no
tenga autenticación orientada a Internet no significa que esté protegido», dijo Breen. .
Breen dijo que esta vulnerabilidad va de la mano con otros tres errores de
Exchange que Microsoft designó como «explotación más probable»: CVE-2023-36050,
CVE-2023-36039
y CVE-2023-36035.
ShadowServer está informando IP vulnerables
de Microsoft Exchange Server CVE-2023-36439 (RCE posterior a la
autenticación). Ya cuentan más de
63.000 equipos vulnerables en todo el mundo
y
600 en América Latina.
Es una de las cuatro vulnerabilidades en Microsoft Exchange Server parcheadas y con la importante explotación histórica de Microsoft Exchange Server por parte de atacantes, continuamos monitoreando y resaltando fallas en Exchange Server.
Noticias en desarrollo…
Fuente:
ShadowServer
Los comentarios están cerrados.