El 2 de marzo, Microsoft publicó actualizaciones de seguridad de emergencia para cuatro vulnerabilidades de Exchange Server. Todas las versiones de Exchange Server que van desde 2013 hasta 2019 están afectadas. Si se explota con éxito, un atacante puede robar los correos electrónicos de la víctima desde el servidor Exchange, así como instalar web shells en los servidores para obtener un control remoto.
Microsoft también advirtió que las vulnerabilidades fueron utilizadas activamente por un grupo de hackers llamado Hafnium. Los detalles pueden encontrarse aquí. La base de datos nacional de vulnerabilidades del NIST clasifica la gravedad de estas vulnerabilidades como Alta, y en un caso, CVE-2021-26855, Crítica.
El aviso inicial de Microsoft sobre los fallos de Exchange daba crédito a Volexity, una empresa de seguridad con sede en Virginia, por informar de las vulnerabilidades. Según el presidente de Volexity, Steven Adair, los atacantes habían estado explotando estas vulnerabilidades desde el 3 de enero de 2021. El aviso de Microsoft sugiere que la mejor protección es aplicar las actualizaciones lo antes posible en todos los sistemas afectados.
Los detalles sobre las vulnerabilidades del servidor Exchange se enumeran a continuación:
Se trata de una vulnerabilidad de falsificación de peticiones del lado del servidor (SSRF) en Exchange. Permite a un atacante saltarse la autenticación en un servidor Exchange vulnerable.
Se trata de una vulnerabilidad de deserialización insegura en el servicio Unified Messaging. La explotación exitosa de esta vulnerabilidad permitirá a un atacante ejecutar código como SYSTEM en un servidor Exchange vulnerable.
Se trata de una vulnerabilidad de escritura arbitraria en archivos después de la autenticación en Exchange. Si se explota con éxito, un atacante puede instalar un shell web en un servidor Exchange vulnerable.
Esta es también una vulnerabilidad de escritura arbitraria de archivos posterior a la autenticación en Exchange que el NIST ha identificado como única respecto a las demás de esta lista. Si se explota con éxito, un atacante puede instalar un shell web en un servidor Exchange vulnerable.
Microsoft ha publicado parches para todos los CVEs mencionados. La lista de parches aparece a continuación. SE ACONSEJA A LOS CLIENTES QUE INSTALEN ESTOS PARCHES INMEDIATAMENTE.
Parches para las vulnerabilidades de Microsoft Exchange:
- CVE-2021-26855:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855 - CVE-2021-26857:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857 - CVE-2021-26858:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858 - CVE-2021-27065:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
El equipo de respuesta a las amenazas de Hillstone Networks ha tomado medidas inmediatas para detener la amenaza para nuestros clientes. Las firmas IPS actualizadas de Hillstone Networks han sido publicadas. Muestra el efecto de la defensa NIPS de Hillstone Networks. Los administradores de los siguientes productos de Hillstone Networks deben actualizar su versión de firma IPS a la 2.1.393.
