Vulnerabilidad Zero-Day en Microsoft Exchange

Vulnerabilidad Zero-Day en Microsoft Exchange, el 2 de marzo de 2021 varias empresas publicaron informes sobre la explotación in-the-wild de vulnerabilidades de día cero dentro de Microsoft Exchange Server. Como resultado, un atacante obtendrá acceso a todas las cuentas de correo electrónico registradas o podrá ejecutar código arbitrario (ejecución remota de código o RCE) dentro del contexto de Exchange Server. En el último caso, el atacante también podrá lograr la persistencia en el servidor infectado.

Vulnerabilidades

Se descubrieron un total de cuatro vulnerabilidades, estas son:

  • CVE-2021-26855: La falsificación de solicitudes del lado del servidor (SSRF) permite a un atacante sin autorización consultar al servidor con una solicitud especialmente construida que provocará la ejecución remota de código. El servidor explotado reenviará la consulta a otro destino.
    CVSSv3: 9.1 / 8.4
  • CVE-2021-26857: Causado por deserialización de datos insegura dentro del servicio de mensajería unificada. Potencialmente permite que un atacante ejecute código arbitrario (RCE). Como resultado de un control insuficiente sobre los archivos de usuario, un atacante puede falsificar un cuerpo de consulta de datos y engañar al servicio de alto privilegio para que ejecute el código.
    CVSSv3: 7.8 / 7.2
  • CVE-2021-26858: Esta vulnerabilidad permite que un usuario de Exchange autorizado sobrescriba cualquier archivo existente dentro del sistema con sus propios datos. Para hacerlo, el atacante tiene que comprometer las credenciales administrativas o explotar otra vulnerabilidad como SSRF CVE-2021-26855 antes mencionada.
    CVSSv3: 7.8 / 7.2
  • CVE-2021-27065: Similar a CVE-2021-26858 y permite que un atacante autorizado sobrescriba cualquier archivo del sistema en el servidor Exchange.
    CVSSv3: 7.8 / 7.2

Después de comprender los servidores de Exchange afectados, los atacantes implementaron shells web en ellos, lo que permitió un posible robo de datos y un mayor compromiso. Los shells web son pequeños scripts que proporcionan una interfaz básica para el acceso remoto a un sistema comprometido. Microsoft advirtió en febrero que entre agosto de 2020 y enero de 2021, había visto el doble de ataques de shell web que en el mismo período del año pasado.

Recomendaciones

  • Microsoft ha publicado actualizaciones para abordar cuatro vulnerabilidades previamente desconocidas de ‘día cero’ en Exchange Server que se estaban utilizando en ataques dirigidos limitados, según Microsoft.
  • Microsoft insta a los clientes a que apliquen las actualizaciones lo antes posible debido a la calificación crítica de las fallas. Las fallas afectaron a Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019. Exchange Online no se ve afectado.
  • Enfocar su estrategia de defensa en detectar movimientos laterales y exfiltración de datos a Internet.
  • Prestar especial atención al tráfico saliente para detectar conexiones de ciberdelincuentes.
  • Realice copias de seguridad de los datos con regularidad. Asegúrese de poder acceder a él rápidamente en caso de emergencia.

Fuentes: