Vulnerabilidad SSRF y Prueba de Concepto (PoC) Pública en Microsoft Exchange (CVE-2026-45504)

Investigadores de seguridad han revelado los detalles técnicos y publicado una Prueba de Concepto (PoC) funcional para una vulnerabilidad de Falsificación de Solicitud del Lado del Servidor (SSRF) de alta gravedad en Microsoft Exchange. Este fallo permite a usuarios autenticados, incluso con privilegios mínimos, leer archivos confidenciales del sistema en implementaciones locales.


Veredicto Analítico
  • Estado: Confirmado. Prueba de concepto (PoC) pública disponible y automatizada en GitHub.
  • Riesgo para SOC, TDIR y Redes: Alto. La capacidad de convertir un ataque SSRF en una primitiva de lectura de archivos arbitrarios expone datos de configuración críticos, credenciales e información de servicios internos del servidor.
  • Urgencia Operativa: Alta. La disponibilidad pública de una PoC funcional reduce significativamente la barrera de entrada para que los actores de amenazas adopten esta técnica en ataques dirigidos a corto plazo.
  • Base del Veredicto: Deficiencias en la validación de esquemas URL dentro del componente OneDriveProUtilities al procesar metadatos WOPI (Web Application Open Platform Interface) durante la previsualización de archivos adjuntos.

Hallazgos Clave
  • Vulnerabilidades Identificadas (Severidad: Alta): Falsificación de Solicitud del Lado del Servidor (SSRF), identificada como CVE-2026-45504 (Puntuación CVSS: 8.8).
  • Plataformas Afectadas: Servidores Microsoft Exchange en implementaciones locales (on-premise).
  • Componentes Explotados: El fallo radica en las funciones TryTwice y GetWacUrl del componente OneDriveProUtilities, las cuales pasan entradas controladas por el usuario directamente a WebRequest.CreateHttp sin validación suficiente.

Análisis Técnico: Mecanismo de Explotación

La gravedad de este fallo radica en cómo Exchange confía ciegamente en las respuestas de los puntos finales durante la validación de archivos:

  • Reconocimiento y Envío: Un atacante autenticado (con privilegios bajos) utiliza Exchange Web Services (EWS) para crear un archivo adjunto de referencia manipulado. Este archivo contiene una URL que apunta a un servidor controlado por el atacante.
  • Fallo en la Validación (SSRF): Cuando la víctima o el sistema intenta previsualizar el archivo, Exchange solicita los metadatos WOPI al servidor del atacante. El servidor malicioso responde con un valor WebApplicationUrl que, en lugar de ser un esquema HTTP/HTTPS, contiene un URI de archivo local (ej. file:///C:/Windows/win.ini#).
  • Evasión e Impacto Operativo (Exfiltración): Para sortear las restricciones de ruta de Exchange, el atacante utiliza el carácter de fragmento (#). Exchange ignora cualquier parámetro añadido después del fragmento, procesa la ruta local mediante una solicitud FileWebRequest y devuelve el contenido del archivo interno del servidor directamente al atacante.

Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
  • Acceso Inicial: Cuentas Válidas (Valid Accounts – T1078). El atacante requiere autenticación previa, aunque sea de bajo privilegio.
  • Ejecución / Evasión: Explotación de Aplicaciones Expuestas al Público mediante Falsificación de Solicitudes (Exploit Public-Facing Application – T1190).
  • Recopilación: Datos de Sistemas Locales (Data from Local System – T1005) al extraer archivos de configuración internos (como el archivo hosts o win.ini).

Recomendaciones Operativas

Para Administración de Redes y TI (Acción Prioritaria)

  • Actualización Inmediata: Desplegar urgentemente las actualizaciones de seguridad proporcionadas por Microsoft para los servidores Exchange afectados.
  • Restricción de Tráfico Saliente: Configurar los firewalls perimetrales para restringir que los servidores Exchange realicen solicitudes salientes a puntos finales no confiables o direcciones IP desconocidas en Internet.

Para el Centro de Operaciones de Seguridad (SOC)

  • Monitoreo y Alertas Perimetrales: Inspeccionar los registros de eventos de Exchange Web Services (EWS) en busca de la creación de archivos adjuntos de referencia anómalos o peticiones que incluyan el uso del esquema file://.
  • Auditoría de Actividad de Red: Alertar sobre cualquier tráfico de red originado desde los servidores Exchange (procesos w3wp.exe asociados a los pools de aplicaciones de Exchange) que intente conectarse a dominios externos no catalogados, lo que podría indicar la fase de respuesta WOPI del ataque.

Related Post