Microsoft se esfuerza por mitigar los CVE de Exchange Server mientras corre para completar el parche
Este audio se genera automáticamente. Por favor, háganos saber si tiene algún comentario.
Más de una semana después de que los investigadores revelaran públicamente dos vulnerabilidades críticas de día cero, Microsoft continúa trabajando en un parche de seguridad que protegerá a Microsoft Exchange Server de ataques maliciosos contra miles de clientes vulnerables en todo el mundo.
Mientras tanto, Microsoft ha tenido que revisar repetidamente los pasos de mitigación provisionales diseñados para proteger a los clientes de ataques maliciosos.
Los investigadores de seguridad han denunciado repetidamente a la empresa porque los atacantes y los investigadores pudieron eludir con éxito los cambios sugeridos, poniendo en riesgo a otros clientes de Exchange Server.
investigador de seguridad kevin beaumontque ha estado siguiendo de cerca el caso de Exchange Server desde que retuiteó las divulgaciones originales de GTSC con sede en Vietnam, señaló que Microsoft ha actualizó su guía sin reconocer fallas anteriores para evitar que el atacante pase por alto.
Después de publicar actualizaciones de su guía de reescritura de URL el 4 de octubre, Microsoft el miércoles publicó otra actualización de sus reglas de reescritura de URL para evitar más ataques derivados de Microsoft Exchange Server Zero Days.
Microsoft ha actualizado los pasos de mitigación para sus reglas del Servicio de mitigación de emergencia de Exchange (EEMS) y la regla de la Herramienta de mitigación local de Exchange (EOMTv2), que son dos de las tres opciones recomendadas para bloquear más ataques.
La empresa tuvo que proporcionar pasos específicos porque aún no ha puesto a disposición un parche para los clientes de Exchange Server locales que son vulnerables a los ataques.
“Los parches tardan en desarrollarse”, dijo Erik Nost, analista senior de Forrester, por correo electrónico. “Las medidas de mitigación temporales son solo eso: temporales, hasta que se pueda identificar una causa raíz y se desarrolle y pruebe un parche”.
Nost advirtió que lanzar un parche antes de que esté completamente probado y funcional solo puede presentar problemas adicionales de seguridad y disponibilidad.
“A menudo vemos que aparece el mismo día cero o la misma vulnerabilidad después de que un parche está disponible porque el parche no abordó la causa raíz. Los proveedores están abordando el síntoma, no el problema”, agregó Nost.
Microsoft publicó el jueves una actualización de EOMTv2 que pide a los clientes que eliminen espacio adicional en el script, pero la compañía dice que esto no ha afectado la funcionalidad.
Cuando se le preguntó acerca de las actualizaciones repetidas de la guía y la falta de un parche, una empresa externa que representa a Microsoft se refirió a los pasos de mitigación publicados y dijo que la compañía publicaría la guía actualizada según sea necesario.
Los investigadores de GreyNoise están rastreando direcciones IP maliciosas apuntando a las vulnerabilidades, que los investigadores denominaron ProxyNotShell. Hubo un total de 26 en la tarde del jueves.
