La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones, siguiendo las indicaciones marcadas por el CCN-CERT, del Centro Criptológico Nacional, alerta de la publicación de dos vulnerabilidades de “día cero” que afectan a Microsoft Exchange Server 2013, 2016 y 2019 que podrían permitir a un ciberatacante ejecutar código de forma remota.
Microsoft está investigando dos vulnerabilidades de día cero, calificadas por la compañía como críticas, que afectan a Microsoft Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019. La primera, identificada como CVE-2022-41040, es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) y, la segunda, identificada como CVE-2022-41082, permite la ejecución remota de código (RCE) cuando PowerShell es accesible para el atacante.
De acuerdo con la información publicada, estas vulnerabilidades están siendo explotada activamente por atacantes remotos, lo que se traduce en un escenario de riesgo, por lo que se ruega se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente a las vulnerabilidades.
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas:
1º. Solución a las vulnerabilidades:
En estos momentos no hay disponible una actualización o parche de seguridad que corrija estas vulnerabilidades. Asimismo, indican desde Microsoft que los clientes de Exchange Online no necesitan realizar ninguna acción porque la empresa cuenta con sistemas de detección y mitigación para protegerlos. Mientras tanto, la organización recomienda aplicar una serie de medidas de mitigación, que serán resumidas a continuación.
2º. Workaround de las vulnerabilidades:
Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es.
Gracias por vuestra atención.
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud