Vulnerabilidad

Descripción

Microsoft ha detectado varios exploits 0-day que se usan para atacar las versiones on-premise de Microsoft Exchange Server en ataques limitados y dirigidos. En los ataques observados, el actor de amenazas utilizó estas vulnerabilidades para acceder a servidores de Exchange locales que permitían el acceso a cuentas de correo electrónico y permitían la instalación de malware adicional para facilitar el acceso a largo plazo a los entornos de víctimas. Microsoft Threat Intelligence Center (MSTIC) atribuye esta campaña con alta confianza a HAFNIUM, un grupo evaluado como patrocinado por el Estado y que opera fuera de China, basado en victimología, tácticas y procedimientos observados. Las vulnerabilidades que se explotaron recientemente fueron:

• CVE-2021-26855: vulnerabilidad de falsificación de solicitudes del lado servidor (SSRF) en Exchange que podría permitir al atacante enviar solicitudes HTTP arbitrarias y autenticarse como servidor de Exchange.
• CVE-2021-26857: vulnerabilidad de deserialización insegura en el servicio de mensajería unificada. La deserialización insegura es donde un programa deserializa los datos controlables por el usuario que no son de confianza. La explotación de esta vulnerabilidad podría dar la capacidad de ejecutar código como SYSTEM en el servidor de Exchange. Esto requiere permiso de administrador u otra vulnerabilidad para explotar.
• CVE-2021-26858: vulnerabilidad de escritura de archivos arbitrario posterior a la autenticación en Exchange. Si el atacante pudiera autenticarse con el servidor de Exchange, entonces podrían usar esta vulnerabilidad para escribir un archivo en cualquier ruta de acceso en el servidor. Podrían autenticarse explotando la vulnerabilidad CVE-2021-26855 SSRF o comprometiendo las credenciales de un administrador legítimo.
• CVE-2021-27065: vulnerabilidad de escritura de archivos arbitrario posterior a la autenticación en Exchange. Si el atacante pudiera autenticarse con el servidor de Exchange, entonces podrían usar esta vulnerabilidad para escribir un archivo en cualquier ruta de acceso en el servidor. Podrían autenticarse explotando la vulnerabilidad CVE-2021-26855 SSRF o comprometiendo las credenciales de un administrador legítimo.

Estas vulnerabilidades se utilizan como parte de una cadena de ataque. El ataque inicial requiere la capacidad de realizar una conexión que no sea de confianza con el puerto 443 del servidor de Exchange. Esto se puede proteger restringiendo las conexiones que no son de confianza o configurando una VPN para separar el servidor de Exchange del acceso externo. El uso de esta mitigación solo protegerá contra la parte inicial del ataque; otras partes de la cadena se pueden desencadenar si un atacante ya tiene acceso o puede convencer a un administrador para que ejecute un archivo malintencionado.

Recursos afectados

• Microsoft Exchange Server 2013
• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019

Solución

Desde Microsoft se insta encarecidamente a los clientes a actualizar los sistemas on-premise inmediatamente. Se recomienda priorizar la instalación de actualizaciones en servidores de Exchange que se enfrentan al exterior. En última instancia, todos los servidores de Exchange afectados deben actualizarse. Exchange Online no se ve afectada.

Referencias

Microsoft Security - HAFNIUM targeting Exchange Servers with 0-day exploits

Microsoft Security Response Center - Multiple Security Updates Released for Exchange Server