TLP:WHITE 
Dos vulnerabilidades zero-day en Microsoft Exchange

Descripción
Se ha descubierto, a través de GTSC y la plataforma de Microsoft de Trend Micro’s Zero Day Initiative (ZDI), dos nuevas vulnerabilidades zero-day que afectan a varias versiones de Microsoft Exchange. Se corresponden con CVE-2022-41040 y CVE-2022-41082. Aún no cuentan con toda la información en la base de datos de vulnerabilidades del NIST por lo que no tiene CVSS, pero Microsoft las ha catalogado como críticas. La vulnerabilidad CVE-2022-41040 es de tipo Server Side Request Forgery (SSRF), mientras que la segunda, identificada como CVE-2022-41082 permite la ejecución remota de código (RCE). Para que la explotación sea exitosa es necesario disponer de credenciales válidas para el acceso al servidor Exchange vulnerable.
Productos afectados
Microsoft Exchange Server 2013, 2016 y 2019
Riesgo
Crítico
Soluciones
Todavía no existe un parche que solucione la vulnerabilidad por lo que Microsoft ha publicado un aviso donde indica dos remediaciones. Bloquear los puertos remotos de PowerShell (HTTP: 5985 y HTTPS: 5986) y aplicar las siguientes instrucciones de reescritura de URL añadiendo la siguiente regla de bloqueo: IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions. Toda la información y los comandos a ejecutar se pueden encontrar en el enlace de referencias.
Referencias
Publicación oficial
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es