Guía para mitigar la vulnerabilidad 0-Day de Exchange CVE-2022-41040

por Antonio Félix Sánchez-Oro, posted in Actualidad, Ciberseguridad, Guías, Microsoft, Software, SysAdmin

Si tienes un servidor con Microsoft Exchange 2013, 2016 o 2019 esta entrada te interesa.

Parece que a los de Redmond les está constando lanzar un parche para esta vulnerabilidad de día cero. Supongo que el problema es que no son capaces de solucionar el problema sin cambiar el comportamiento de Exchange. Sea como fuere, te resumo en los siguientes apartados los pasos clave que da Microsoft para mitigar este problema.

¿CÓMO SABER SI ESTOY AFECTADO?

Si tienes instalado on-premise Microsoft Exchange 2013, 2016 o 2019 estás afectado.

¿CÓMO SABER SI HE SIDO ATACADO O ESTOY BAJO UN ATAQUE ACTIVO?

La evidencia de si estás siendo atacado se puede encontrar en los logs de IIS (Internet Information Services).

Para obtener la ruta por defecto donde se encuentran los logs de tu IIS pulsa Windows + R y ejecuta:

%SystemDrive%\inetpub\logs\LogFiles

Una vez sepas la ruta, con el siguiente comando podrás buscar la cadena de texto exacta que muestras si has sido atacado. Si el comando no te encuentra la cadena en tus logs estás de suerte, no hay evidencias de que hayas sido atacado.

Get-ChildItem -Recurse -Path "la_ruta_a_tus_archivos_de_log" -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

PASOS PARA MITIGAR EL PROBLEMA

Microsoft ha publicado un script de PowerShell que automáticamente configura el IIS de la máquina vulnerable para esquivar los ataques provenientes de usuarios malintencionados que quieran explotar esta vulnerabilidad.

El script se llama Exchange On-premises Mitigation Tool v2 (EOMTv2) y lo puedes descargar desde su página oficial: Exchange On-premises Mitigation Tool

Este script de PowerShell tendrás que ejecutarlo como administrador en las máquinas afectadas. Y para que funcione correctamente necesitarás:

  • Instalar previamente el parche KB2999226 (si tu máquina es inferior a Windows Server 2016)
  • Dar acceso a internet a la máquina afectada (para actualizar el script en caso de que exista una versión nueva y para que se pueda descargar la utilidad URL Redirect para IIS, necesaria para poder aplicar la mitigación).

INFORMACIÓN ADICIONAL

Te dejo por aquí las fuentes oficiales de Microsoft que pueden ayudarte a documentarte más sobre esta vulnerabilidad.

Publicado por Antonio Félix Sánchez-Oro

¡Hola! Soy Antonio Félix y trabajo como técnico de seguridad de la información en el sector nuclear. Como ves, me encanta escribir sobre la actualidad tecnología y ciberseguridad. Sígueme para estar atento a las últimas novedades.