Se ha informado de una nueva CVE(CVE-2019-1136) que permite a un atacante acceder a los buzones de correo electrónico de cualquier usuario, si se explota. Aún no se conocen exploits para esta vulnerabilidad, pero cualquier vulnerabilidad que permita ataques de escalada de privilegios merece la atención de los equipos de TI y seguridad. Microsoft publicó sobre esta vulnerabilidad recientemente y dijo lo siguiente en su aviso oficial:
Existe una vulnerabilidad de elevación de privilegios en Microsoft Exchange Server. Un atacante que explote con éxito esta vulnerabilidad podría obtener los mismos derechos que cualquier otro usuario del servidor Exchange. Esto podría permitir al atacante realizar actividades como acceder a los buzones de correo de otros usuarios. La explotación de esta vulnerabilidad requiere que Exchange Web Services (EWS) esté habilitado y en uso en un entorno afectado. Para explotar la vulnerabilidad, un atacante necesitaría ejecutar un ataque man-in-the-middle para reenviar una solicitud de autenticación a un Microsoft Exchange Server, permitiendo así la suplantación de otro usuario de Exchange. Para solucionar esta vulnerabilidad, Microsoft ha cambiado la forma en que EWS gestiona los tokens NTLM.
Cómo encontrar servidores afectados en Censys
Queríamos guiar a los usuarios de Censys (en particular a los cazadores de amenazas y pentesters entre ustedes) a través de algunos métodos para utilizar nuestros datos para encontrar estas vulnerabilidades. Así es como buscamos los servidores afectados.
- Hemos extraído la lista de versiones de software afectadas por esta vulnerabilidad del aviso de Microsoft.
- Luego los tradujimos en cifras de construcción, utilizando esta información como recurso.
- Con los números de compilación y sus fechas de lanzamiento a mano, pudimos buscar en Censys para ver aquellos servidores que están expuestos en la cabecera HTTP X-OWA-Version y buscar en ese campo utilizando el OR para encontrar cualquier versión afectada.
- Aquí está la vista del Generador de Informes de esos resultados de búsqueda, desglosados por país: https://is.gd/FNW4T7
Este informe muestra que los servidores vulnerables se encuentran predominantemente en Estados Unidos, y que encontramos al menos 9700 servidores vulnerables basándonos en este enfoque de búsqueda.
Aquí está nuestro tutorial rápido y sucio de cómo encontramos estos servidores afectados para que puedas replicar el proceso en la búsqueda de futuros CVEs en nuestros datos. La parte más difícil es siempre traducir la información de la versión afectada de la vulnerabilidad escrita a cómo el software reporta ese número de versión. Escribimos sobre este proceso anteriormente con una exploración de vulnerabilidad de Microsoft Sharepoint, que puede valer la pena revisar.
Nos encantaría conocer sus opiniones, comentarios y sugerencias en la conversación de Twitter.
