Respuesta de Rackspace al aviso de seguridad de MOVEit Transfer

El 11 de julio de 2023, Microsoft declaró 132 vulnerabilidades, incluidas 6 Zero-Day explotadas activamente y 9 vulnerabilidades críticas. Microsoft ha publicado parches para todas las vulnerabilidades excepto una de día cero (CVE-2023-36884). Esta vulnerabilidad afecta a la forma en que Microsoft Office gestiona los archivos MSHTML - Rackspace recomienda parchear CVE-2023-36884 cuando se publique un parche. Tenga en cuenta que Microsoft no ha indicado si esta vulnerabilidad se parcheará individualmente o se incluirá en la versión del parche de agosto. De las vulnerabilidades señaladas por Microsoft, Rackspace destacará cinco en este post.  

Tres vulnerabilidades (rastreadas como CVE-2023-35365, CVE-2023-35366, y CVE-2023-35367) afectan al "Routing and Remote Access service" (RRAS) en todas las versiones actuales de Windows Server, así como en la v2008. Estas vulnerabilidades dan lugar a la ejecución remota de código (RCE), no requieren autenticación ni interacción del usuario y tienen una complejidad de ataque baja. Afortunadamente, RRAS no está instalado ni configurado por defecto en los servidores Windows. Recomendamos a los clientes que evalúen si este servicio está o podría estar habilitado, y que deshabiliten el servicio o lo parcheen para mitigar la vulnerabilidad.  

La cuarta vulnerabilidad (rastreada como CVE-2023-32057) afecta a Microsoft Message Queuing (MSMQ) con un CVSS de 9,8 (calificado como "crítico"). Para explotar con éxito esta vulnerabilidad, un atacante debe enviar un paquete MSMQ malicioso específicamente diseñado a un servidor MSMQ, lo que lleva a una ejecución remota de código. Este componente de Windows debe estar activado para que un sistema sea vulnerable. Microsoft recomienda comprobar si el servicio "Message Queuing" se está ejecutando y el puerto TCP 1801 está a la escucha en la máquina. 

La última vulnerabilidad (rastreada como CVE-2023-35352) existe en el Protocolo de Escritorio Remoto (RDP). La explotación de esta vulnerabilidad permitiría a un atacante eludir la autenticación mediante certificados o claves privadas al iniciar una sesión de escritorio remoto. La vulnerabilidad afecta a las versiones 2012 a 2019 de Windows Servers y tiene una calificación de complejidad de ataque baja.  

Los ingenieros de Rackspace han realizado una evaluación inicial y recomiendan encarecidamente a los clientes que revisen el aviso y se aseguren de instalar los parches de Microsoft Office adecuados. Los clientes de Rackspace que utilicen nuestro servicio Managed Patching Service recibirán los parches durante los ciclos normales de aplicación de parches. 

Para aquellos clientes que no utilicen Rackspace Managed Patching, recomendamos parchear los dispositivos lo antes posible para mitigar estas vulnerabilidades. Los clientes que no utilicen nuestro Servicio Gestionado de Parches pueden instalar las últimas actualizaciones de Windows ellos mismos o pueden solicitar que Rackspace realice los parches poniéndose en contacto con el Soporte de Rackspace. 

Nuestros equipos de seguridad están supervisando activamente la situación y proporcionarán cualquier actualización asociada a través de este blog. 

Si tiene alguna pregunta o necesita ayuda para responder a estas vulnerabilidades, póngase en contacto con un Racker de soporte a través de https://www.rackspace.com/login.