Más de 60 000 servidores de Microsoft Exchange expuestos en línea aún no se han parcheado contra la vulnerabilidad de ejecución remota de código (RCE) CVE-2022-41082, una de las dos fallas de seguridad a las que apuntan los exploits de ProxyNotShell.

Según un tuit reciente de investigadores de seguridad de la Fundación Shadowserver, una organización sin fines de lucro dedicada a mejorar la seguridad en Internet, se descubrió que casi 70 000 servidores de Microsoft Exchange eran vulnerables a los ataques de ProxyNotShell según la información de la versión (el encabezado x_owa_version de los servidores).

Sin embargo, nuevos datos publicados el lunes muestran que la cantidad de servidores Exchange vulnerables ha disminuido de 83 946 instancias a mediados de diciembre a 60 865 detectadas el 2 de enero.

Estos dos errores de seguridad, rastreados como CVE-2022-41082 y CVE-2022-41040 y conocidos colectivamente como ProxyNotShell, afectan a Exchange Server 2013, 2016 y 2019.

Si se explota con éxito, los atacantes pueden aumentar los privilegios y obtener la ejecución de código arbitrario o remoto en servidores comprometidos.

Microsoft lanzó actualizaciones de seguridad para abordar las fallas de noviembre de 2022, a pesar de que los ataques ProxyNotShell se han detectado en la naturaleza desde al menos septiembre de 2022.

La empresa de inteligencia de amenazas GreyNoise ha estado rastreando la explotación de ProxyNotShell en curso desde el 30 de septiembre y proporciona información sobre la actividad de escaneo de ProxyNotShell y una lista de direcciones IP vinculadas a los ataques.

Mitigación y protección

Para proteger sus servidores Exchange de los ataques entrantes, debe aplicar los parches ProxyNotShell lanzados por Microsoft en noviembre.

Si bien la compañía también proporcionó medidas de mitigación, los atacantes pueden eludirlas, lo que significa que solo los servidores completamente parcheados están seguros contra el compromiso.

Los actores de amenazas de ransomware Play ahora están utilizando una nueva cadena de explotación para evitar las mitigaciones de reescritura de URL de ProxyNotShell y obtener la ejecución remota de código en servidores vulnerables a través de Outlook Web Access (OWA).

Los servidores de Exchange son objetivos valiosos, como lo demuestra el grupo de delitos cibernéticos FIN7, motivado financieramente, que ha desarrollado una plataforma personalizada de ataque automático conocida como Checkmarks y diseñada para violar los servidores de Exchange .

Según la firma de inteligencia de amenazas Prodaft, que descubrió la plataforma, busca y explota varias vulnerabilidades de elevación de privilegios y ejecución remota de código de Microsoft Exchange, como CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207.

La nueva plataforma de FIN7 ya se ha utilizado para infiltrarse en 8147 empresas, principalmente ubicadas en los Estados Unidos (16,7 %), después de escanear más de 1,8 millones de objetivos.