El equipo del Centro de Respuestas de Seguridad de Microsoft, ha realizado una publicación sobre dos vulnerabilidades de tipo zero-day que han sido reportadas inicialmente por el equipo de seguridad vietnamita conocido como GTSC.

La primera vulnerabilidad destacada por Microsoft está identificada bajo el CVE-2022-41040, que permite un ataque de falsificación de solicitud del lado del servidor (SSRF). Sin embargo, el segundo error seguido bajo el CVE-2022-41082 da la posibilidad a un atacante de ejecutar código arbitrario remotamente (RCE).

La compañía destaca el conocimiento que existe sobre la explotación de ambas vulnerabilidades, mencionando la necesidad de tener un acceso autenticado al servidor de Microsoft Exchange vulnerable. En los ataques dirigidos que aprovechan dichas vulnerabilidades, primeramente, se ejecuta el error CVE-2022-41040, ya que permite a los atacantes aprovechar de manera remota el fallo descrito en el CVE-2022-410832.

Por el momento no se ha detectado la publicación de ningún exploit o pruebas de concepto (PoC) que aprovechen dichas vulnerabilidades.

Cabe añadir que por el momento no se ha llegado a aplicar una solución oficial que resuelva los errores descritos, pero tanto Microsoft como el GTSC han publicado mitigaciones alternativas. Desde el BCSC, se recomienda aplicar las mismas con la mayor celeridad posible con el fin de tratar de evitar el compromiso de los sistemas vulnerables afectados por dichas vulnerabilidades, calificadas como críticas.