La NSA descubre nuevas vulnerabilidades que afectan a los servidores Microsoft Exchange

Así es la NSA descubre nuevas vulnerabilidades que afectan a los servidores Microsoft Exchange, en su lista de parches de abril, Microsoft implementó correcciones para un total de 114 fallas de seguridad, incluido un día cero explotado activamente y cuatro errores de ejecución remota de código en Exchange Server.

De las 114 fallas, 19 están calificadas como críticas, 88 están calificadas como importantes y una tiene una gravedad moderada.

El principal de ellos es CVE-2021-28310, una vulnerabilidad de escalada de privilegios en Win32k que se dice que está bajo explotación activa, lo que permite a los atacantes elevar los privilegios mediante la ejecución de código malicioso en un sistema de destino.

La firma de ciberseguridad Kaspersky, que descubrió e informó la falla a Microsoft en febrero, vinculó el exploit de día cero con un actor de amenazas llamado Bitter APT, que se descubrió que explotaba una falla similar (CVE-2021-1732) en ataques a fines del año pasado.

Es un exploit de escalada de privilegios (EoP) que probablemente se usa junto con otros exploits del navegador para escapar de las cajas de arena u obtener privilegios del sistema para un mayor acceso

Investigador de Kaspersky Boris Larin

NSA encontró nuevos errores que afectan a Exchange Server

Microsoft también corrigió cuatro fallas de ejecución remota de código (RCE) (CVE-2021-28480 a CVE-2021-28483) que afectan a los servidores Exchange locales 2013, 2016 y 2019 que fueron informados a la compañía por la Agencia de Seguridad Nacional de EE. UU. (NSA). Dos de los errores de ejecución de código no están autenticados y no requieren interacción del usuario, y tienen una puntuación CVSS de 9,8 sobre un máximo de 10.

Camino de actualizaciones

Si bien el fabricante de Windows dijo que no había encontrado evidencia de exploits activos en la naturaleza, se recomienda que los clientes instalen estas actualizaciones lo antes posible, a la luz de los hackeos generalizados de Exchange Server el mes pasado y los nuevos hallazgos de que los atacantes están intentar aprovechar el exploit ProxyLogon para implementar criptominers maliciosos en servidores Exchange, con la carga alojada en un servidor Exchange comprometido.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) también ha revisado la directiva de emergencia que emitió el mes pasado, indicando que

Estas vulnerabilidades representan un riesgo inaceptable para la empresa federal y requieren una acción inmediata y de emergencia

CISA

Al tiempo que advierte que las fallas subyacentes pueden ser armado mediante ingeniería inversa del parche para crear un exploit.

27 defectos de RCE en Windows RPC y otras correcciones

Microsoft también dijo que se conocían públicamente cuatro vulnerabilidades adicionales en el momento del lanzamiento, pero que no se aprovecharon.

  • CVE-2021-28458: Vulnerabilidad de elevación de privilegios de biblioteca de Azure ms-rest-nodeauth
    CVSSv3: 7.8 / 7.0
  • CVE-2021-2709: Vulnerabilidad de elevación de privilegios del servicio RPC Endpoint Mapper
    CVSSv3: 7.8 / 7.0
  • CVE-2021-28437: Vulnerabilidad de divulgación de información de Windows Installer
    CVSSv3: 5.5 / 4.8
  • CVE-2021-28312: Vulnerabilidad de denegación de servicio de Windows NTFS
    CVSSv3: 3.3 / 3.1

Además, la actualización del martes de parches de abril también aborda 27 fallas de RCE en tiempo de ejecución de llamada a procedimiento remoto (RPC), una vulnerabilidad de omisión de característica de seguridad de Hyper-V (CVE-2021-28444) y múltiples fallas de escalada de privilegios en Windows Speech Runtime, Windows Servicios y aplicación de controlador, modo de kernel seguro de Windows, seguimiento de eventos de Windows y Windows Installer.

Fuentes: