Microsoft advierte sobre vulnerabilidad en el Exchange Server

Microsoft publicó esta semana un aviso de seguridad para el programa Microsoft Exchange Server. La alerta, que fue replicada por el CERT de los Estados Unidos, llama a los usuarios a revisar el Asesor de Seguridad de Microsoft y seguir las indicaciones del Centro de Coordinación de Vulnerabilidades para considerar algunas recomendaciones mientras se trabaja en una actualización del programa.

De acuerdo a lo señalado por la gigante de software, un atacante que aprovechó una vulnerabilidad del programa podría intentar pasar por otro usuario del servidor de Exchange. Para explotar esta fragilidad, es necesario ejecutar un ataque man-in-the-middle -con un intermediario- para reenviar una autentificación requerida por Microsoft Exchange, permitiendo así la suplantación del usuario, señala el comunicado.

La nota del US-CERT rotulada VU#465632, advierte de otros impactos que se pueden generar apartir de esta vulnerabilidad. En ella se indica que un atacante con credenciales para Exchange mailbox, con la habilidad de comunicarse con Microsoft Exchange Server y que pudiera controlar un dominio de Windows, podría obtener privilegios de administrador sobre ese dominio.

Como solución, Microsoft propone configurar una política para  limitar el EWS Max Subscriptions y llevarla aun valor cero. De esta manera “se evita que el servidor de Exchange envíe notificaciones de EWS, además de prevenir que las aplicaciones de los clientesque dependen de las notificaciones de EWS funcionen normalmente”, indicó la compañía.

Algunas de las aplicaciones impactadas mencionadas por Microsoft incluyen Outlook para Mac, Skype para Business, aplicaciones LOB y algunos correos iOS native.

Se especula que la solución definitiva podría ser anunciada el próximo Patch Tuesday –Martes de Parche-, que suele ser el segundo martes de cada mes.

Fuente: US-CERT, Microsoft