Los equipos de seguridad en las compañías tienen mucho tiempo con el intercambio. Debe decirse que la solución del servidor de mensajería de Microsoft Constituye una puerta de entrada tan obvia como práctica para los piratas informáticos acceder a el corazón de la SI de una empresa. Entre la variada gama de ataques de ataques que enfrentan, encontramos en particular las fallas SSRF (falsificación de solicitud del lado del servidor). En una publicación de blog, Bitdefender ha realizado un balance de estos defectos que afectan a los servidores de intercambio que no han estado organizando unos pocos meses.

"A finales de noviembre de 2022, los expertos en BitDefender Labs comenzaron a notar un aumento en los ataques utilizando canales operativos ProxynotShell/OWASSRF para apuntar a las implementaciones de Microsoft Exchange en el sitio", Indica el editor de seguridad bitdefender. "Los ataques SSRF en los servidores de intercambio de Microsoft se encuentran entre las vulnerabilidades más populares y más explotadas regularmente". Como parte de un ataque SSRF, un pirata hace una solicitud de trampa específica dirigida a un servidor vulnerable con el objetivo de acceder a recursos o información a las que no se puede acceder directamente y realizar acciones maliciosas.

Dos canales de hazaña activa

Hasta la fecha, se han identificado dos canales de hazaña y todavía están activos. El primero es proxynotshell, que combina fallas CVE-2022-41080 y CVE-2022-41082, corregidas por Microsoft en noviembre pasado. El segundo se conoce como OWASSRF. Aprovechando estas mismas dos vulnerabilidades, es más problemático y se ha utilizado Durante el último ataque, ha atacado a Rackspace en diciembre pasado. "La diferencia es que en lugar de usar el punto final del servicio de autodescubrimiento, apunta al punto de terminación del servicio OWA desde la interfaz de caso. Al modificar el punto de servicio de terminación dirigido por el ataque SSRF, los piratas informáticos pueden evitar los consejos de mitigación de Microsoft", advierte BitDefender . Desde noviembre pasado, alrededor de 100,000 servidores de intercambio han sido afectados por esta cadena

Para limitar los riesgos y reducir la superficie del ataque, el editor recomienda varias acciones, como aplicar estrictamente las actualizaciones del correctivo de Windows, pero también todas las aplicaciones y servicios expuestos en Internet. También Ser un muy vigilante en términos de detección de errores de configuración, analizando la reputación de IP y URL al bloquear los considerados malos. Sin olvidar la detección de incidentes.