Investigadores de la empresa GTSC afirman haber encontrado durante una respuesta ante incidente, trazas de ataques de una nueva vulnerabilidad de día cero (0-day) que afecta a los despliegues on premisede Microsoft Exchange.
Según estos investigadores, la explotación exitosa de esta vulnerabilidad permitiría a un atacante remoto la subida de una webshell al servidor donde se esté alojando el servicio de Exchange.
Microsoft, ha confirmado la existencia de dos nuevas vulnerabilidades que afectan a los servidores de Exchange, la primera de ellas un problema de SSRF y la segunda un problema de ejecución remota de código (RCE). Estas vulnerabilidades afectarían a los Servidores Exchange 2013, 2016 y 2019. También afirmó que se han detectado explotaciones de estas vulnerabilidades por parte de múltiples actores in-the-wild.
En el momento de redacción de esta noticia aún no existe un parche oficial para Microsoft Exchange aunque se ha hecho publico un parche temporal por parte de Microsoft consistente en la adición de una regla nueva de reescritura de URL en el manager IIS del servidor de Exchange. Además ha comunicado que esta vulnerabilidad solo afecta a las versiones on premise de Exchange.
Estos ataques guardan similitud con los ocurridos el pasado año mediante la explotación de ProxyLogony ProxyShell. Dichos ataques derivaron en múltiples campañas de spam , abuso de servidores para minado de criptomonedas e incluso la paralización del parlamento noruego.