Microsoft aún no lanzó un parche para corregir dos vulnerabilidades zero-day que confirmó que han estado siendo explotadas por atacantes en campañas que buscan ejecutar código de manera remota en los sistemas comprometidos.
El viernes 30 de septiembre Microsoft confirmó la existencia de dos vulnerabilidades zero-day (CVE-2022-41040 y CVE-2022-41082) que están siendo utilizadas de forma conjunta en campañas que buscan lograr acceso a servidores de Microsoft Exchange y ejecutar código de manera remota en los sistemas comprometidos. Las mismas afectan a las versiones 2013, 2016 y 2019 de Microsoft Exchange Server.
El hallazgo de estas vulnerabilidades es responsabilidad de investigadores de la compañía GTSC, que hace tres semanas detectaron ataques a infraestructuras críticas en los que se estaban utilizando ambas vulnerabilidades y las reportaron al programa Zero Day Initiative.
Según detalla Microsoft, la CVE-2022-41040 es un tipo de vulnerabilidad del tipo Server Side Request Forgery (SSRF), mientras que la CVE-2022-41082 permite la ejecución remota de código (RCE) cuando PowerShell es accesible al atacante. Es importante tener en cuenta que para explotar exitosamente la vulnerabilidad el atacante necesita permisos de autenticación al servidor de Exchange.
fuente
