Exploits 0-day en Microsoft Exchange Server

  Equipo Ciberseguridad | 02/03/21 | Alertas, Avisos
Múltiples vulnerabilidades en productos Juniper

Actualización

[Actualización 08/03/2021]: Microsoft ha publicado una serie de medidas de mitigación para aquellos que no puedan instalar las actualizaciones de manera inmediata. Para consultar el detalle de estas medidas puede consultar el siguiente enlace. Asimismo, el CISA también ha publicado su propio aviso.

[Actualización 17/03/2021]: Microsoft ha publicado una herramienta «one-click mitigation tool», que también cuenta con la ultima versión del Microsoft Safety Scanner, y que permite mitigar automáticamente la vulnerabilidad CVE-2021-26855 en cualquier Exchange server de la forma más rápida y fácil posible, antes de aplicar la actualización. Microsoft recomienda descargar y ejecutar esta herramienta a todos aquellos que aun no hayan aplicado la actualización de seguridad correspondiente.

[Actualización 13/04/2021]: el CISA ha añadido 2 nuevos Malware Analysis Reports (MARs) a la alerta AA21-062A:

  • MAR-10331466-1.v1: China Chopper Webshell identifica una webshell de China Chopper detectado en servidores Microsoft Exchange post-comprometidos.
  • MAR-10330097-1.v1: DearCry Ransomware identifica el ransomware que se ha utilizado para explotar servidores Exchange locales comprometidos.

Descripción

Microsoft ha detectado varios exploits 0-day que se usan para atacar las versiones on-premise de Microsoft Exchange Server en ataques limitados y dirigidos. En los ataques observados, el actor de amenazas utilizó estas vulnerabilidades para acceder a servidores de Exchange locales que permitían el acceso a cuentas de correo electrónico y permitían la instalación de malware adicional para facilitar el acceso a largo plazo a los entornos de víctimas. Microsoft Threat Intelligence Center (MSTIC) atribuye esta campaña con alta confianza a HAFNIUM, un grupo evaluado como patrocinado por el Estado y que opera fuera de China, basado en victimología, tácticas y procedimientos observados.

Las vulnerabilidades que se explotaron recientemente fueron:

  • CVE-2021-26855: vulnerabilidad de falsificación de solicitudes del lado servidor (SSRF) en Exchange que podría permitir al atacante enviar solicitudes HTTP arbitrarias y autenticarse como servidor de Exchange.
  • CVE-2021-26857: vulnerabilidad de deserialización insegura en el servicio de mensajería unificada. La deserialización insegura es donde un programa deserializa los datos controlables por el usuario que no son de confianza. La explotación de esta vulnerabilidad podría dar la capacidad de ejecutar código como SYSTEM en el servidor de Exchange. Esto requiere permiso de administrador u otra vulnerabilidad para explotar.
  • CVE-2021-26858: vulnerabilidad de escritura de archivos arbitrario posterior a la autenticación en Exchange. Si el atacante pudiera autenticarse con el servidor de Exchange, entonces podrían usar esta vulnerabilidad para escribir un archivo en cualquier ruta de acceso en el servidor. Podrían autenticarse explotando la vulnerabilidad CVE-2021-26855 SSRF o comprometiendo las credenciales de un administrador legítimo.
  • CVE-2021-27065: vulnerabilidad de escritura de archivos arbitrario posterior a la autenticación en Exchange. Si el atacante pudiera autenticarse con el servidor de Exchange, entonces podrían usar esta vulnerabilidad para escribir un archivo en cualquier ruta de acceso en el servidor. Podrían autenticarse explotando la vulnerabilidad CVE-2021-26855 SSRF o comprometiendo las credenciales de un administrador legítimo.

Estas vulnerabilidades se utilizan como parte de una cadena de ataque. El ataque inicial requiere la capacidad de realizar una conexión que no sea de confianza con el puerto 443 del servidor de Exchange. Esto se puede proteger restringiendo las conexiones que no son de confianza o configurando una VPN para separar el servidor de Exchange del acceso externo. El uso de esta mitigación solo protegerá contra la parte inicial del ataque; otras partes de la cadena se pueden desencadenar si un atacante ya tiene acceso o puede convencer a un administrador para que ejecute un archivo malintencionado.

Recursos afectados

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Solución

Desde Microsoft se insta encarecidamente a los clientes a actualizar los sistemas on-premise inmediatamente. Se recomienda priorizar la instalación de actualizaciones en servidores de Exchange que se enfrentan al exterior. En última instancia, todos los servidores de Exchange afectados deben actualizarse. Exchange Online no se ve afectada.

Referencias

Microsoft Security – HAFNIUM targeting Exchange Servers with 0-day exploits
Microsoft Security Response Center – Multiple Security Updates Released for Exchange Server
Tags
, , , , , , , , ,

Artículos relacionados

 Equipo Ciberseguridad
Múltiples vulnerabilidades en productos de Cisco
CVE-2021-1502 | CVE-2021-1503 | CVE-2021-1526 Descripción Se han reportado 3 vulnerabilidades, todas de severidad alta, que podrían permitir a un atacante ejecutar código arbitrario en el sistema afectado. Las vulnerabilidades...
 Equipo Ciberseguridad
Omisión de autenticación en familias SIMATIC de Siemens
CVE-2020-15782 Descripción Siemens ha publicado una vulnerabilidad de evasión de protección de memoria que podría permitir a un atacante escribir datos y código arbitrario en áreas de memoria protegidas o...
Múltiples vulnerabilidades en productos Juniper
 Equipo Ciberseguridad
[Actualización] Múltiples vulnerabilidades en productos HPE
CVE-2020-7200 | CVE-2020-7203 Descripción Se han identificado dos vulnerabilidades en productos HPE de ejecución remota de código. CVE-2020-7200: Esta vulnerabilidad afecta a Systems Insight Manager (SIM) versión 7.6. La vulnerabilidad...