Publicado 30/09/2022 17:01

Microsoft identifica dos vulnerabilidades de día cero: la primera activa la segunda y están siendo explotadas

Centro de respuestas de seguridad de Microsoft
Centro de respuestas de seguridad de Microsoft - MICROSOFT

   MADRID, 30 Sep. (Portaltic/EP) -

   Microsoft está investigando dos vulnerabilidades de día cero en Exchange que actualmente estarían siendo el objetivo de varios ataques, por lo que ha asegurado que trabaja en un parche que las soluciones.

   Las dos vulnerabilidades afectan a Microsoft Exchange Server 2013, 2016 y 2019, identificadas como de día cero, es decir, que ha sido descubierta por los cibercriminales antes que por el proveedor del servicio y aun no tiene una solución.

   La primera de ellas se ha registrado como CVE-2022-41040, como una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF), mientras que la segunda, CVE-2022-41082, permitiría la ejecución remota de código cuando el atacante puede acceder a PowerShell.

   Lo que destaca la compañía tecnológica en el blog del Centro de respuestas de seguridad es que la primera vulnerabilidad permitiría al atacante autenticarse en el sistema para activar de forma remota la segunda. Microsoft también ha reconocido que ha detectado que ataques dirigidos contra ambas vulnerabilidades.

   Actualmente no existe corrección para las vulnerabilidad, pero Microsoft asegura que está trabajando en ella y que, mientras tanto, confía en sus sistemas para detectar y mitigar la actividad maliciosa que pueda afectar a sus clientes.

La firma de seguridad GTSC identificó en agosto una infraestructura que estaba siendo atacada aprovechando las vulnerabilidades que reseña Microsoft, como recogen en TechCrunch.

En su análisis, los investigadores de GTSC explican que, aunque pudieron mitigarlo para este cliente, "el equipo de ataque también utilizó varias técnicas para crear puertas traseras en el sistema afectado y realizar movimientos laterales a otros servidores del sistema".

Más información

Más leídasofrecido por

Logotipo de Cellnex
  1. 1

    Xiaomi lanza Note E-Ink, una tableta con pantalla de tinta elecrónica y soporte para lápiz inteligente

  2. 2

    Los mejores productos de sonido e imagen para regalar esta Navidad

  3. 3

    WhatsApp prueba la ventana flotante fuera de la 'app' durante las videollamadas en la última versión beta de iOS

  4. 4

    La copistería online Copyfly apuesta por las redes sociales para potenciar su negocio

  5. 5

    Las reparaciones de autoservicio de Apple llegan a España y otros países de Europa