Recuerde esto la próxima vez que Microsoft hable sobre la seriedad con la que se toma la seguridad.

Los investigadores de seguridad advirtieron que se está explotando activamente una falla de día cero en el servidor Exchange de Microsoft.

Una empresa de seguridad de la información vietnamita llamada GTSC parece haber identificado la falla con una publicación que explica cómo un par de fallas permiten la ejecución remota de código en las instalaciones de Exchange.

La compañía informó sus hallazgos a Zero Day Initiative, que asignó el código ZDI-CAN-18333 a una falla calificada con 8.8 en la escala de diez puntos del Sistema de puntuación de vulnerabilidad común (CVSS). Un segundo defecto, ZDI-CAN-18802, tiene una calificación de 6.3/10.

Los detalles de las fallas son escasos, y la publicación de GTSC detalla sus observaciones de webshells con características chinas que se colocan en los servidores de Exchange. Esos webshells luego “inyectan archivos DLL maliciosos en la memoria, colocan archivos sospechosos en los servidores atacados y ejecutan estos archivos a través de la línea de comando de instrumentación de administración de Windows (WMIC).

Ese esfuerzo conduce a la capacidad de realizar la ejecución remota de código, y eso rara vez termina bien.

  • Se encontró que el protocolo de detección automática de Microsoft Exchange filtra cientos de miles de credenciales
  • Funcionarios estadounidenses y expertos temen que China haya saqueado servidores de Exchange en busca de datos para entrenar sistemas de IA
  • El jardín de torturas de Microsoft Exchange: Danos la serenidad para aceptar lo que no pueden EOL
  • Microsoft corrige un agujero crítico de ejecución de código remoto en Exchange Server y otros
  • Es octubre de 2018 y Microsoft Exchange puede ser manipulado por un valiente niño de ocho años…
  • La Autoridad Bancaria Europea restaura el servicio de correo electrónico tras el hackeo de Microsoft Exchange
  • La NSA ayuda a Microsoft con las divulgaciones de vulnerabilidades críticas de Exchange Server en una lluvia de parches de abril

En esta etapa, es difícil imaginar un buen final para esta historia, porque si bien GTSC ha descrito las mitigaciones en su publicación, Microsoft aún no ha publicado una solución. La historia me dice que incluso una vez que Microsoft publica un parche, muchos miles de usuarios de Exchange no lo implementarán de inmediato.

Para empeorar las cosas, las hazañas de las fallas ya son evidentes.

La publicación de GTSC afirma que ya ha visto a algunos de sus clientes bajo ataque. El analista de Infosec, Kevin Beaumont, tuiteó noticias de que también está al tanto de los ataques activos.

Estas fallas son solo las últimas de una larga lista de problemas con Exchange, el producto de mensajería insignia de Microsoft. El más infame de los últimos tiempos fue el defecto Hafnium que se cree que fue obra de actores chinos. Apenas pasa un mes sin que Microsoft encuentre otras fallas de Exchange que se consideren dignas de un parche Patch Tuesday, pero el gigante del software también se comprometió recientemente a mejorar la seguridad del servidor mediante la adopción de principios de confianza cero para las conexiones al producto. 

fuente:theregister[.]com