El pasado 2 de marzo Microsoft advirtió sobre cuatro vulnerabilidades zero-day en Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019 que están siendo explotadas activamente por el grupo de hackers patrocinado por China llamado Hafnium.
Las vulnerabilidades afectan a la versión on-premises de Microsoft Exchange Server. Microsoft Exchange Online ni Office 365 se ven afectados por estas amenazas.
Las vulnerabilidades detectadas
CVE-2021-26855 es una vulnerabilidad SSRF en Microsoft Exchange Server. Un atacante remoto no autenticado podría aprovechar esta falla enviando una solicitud HTTP especialmente diseñada a un servidor Exchange vulnerable. Para explotar esta falla, Microsoft dice que el servidor Exchange vulnerable necesitaría poder aceptar conexiones no confiables a través del puerto 443. La explotación exitosa de esta falla permitiría al atacante autenticarse en el servidor Exchange.
CVE-2021-26857 es una vulnerabilidad de deserialización insegura en Microsoft Exchange. Específicamente, la falla reside en el servicio de mensajería unificada de Exchange, que habilita la funcionalidad de correo de voz además de otras características. Para aprovechar esta falla, un atacante debería estar autenticado en el servidor Exchange vulnerable con privilegios de administrador o aprovechar otra primero vulnerabilidad.
CVE-2021-26858 y CVE-2021-27065 son vulnerabilidades de escritura de archivos arbitrarias en Microsoft Exchange. Estas fallas son posteriores a la autenticación, lo que significa que un atacante primero necesitaría autenticarse en el servidor Exchange vulnerable antes de poder aprovechar estas. Esto podría lograrse mediante la explotación de CVE-2021-26855 o mediante la posesión de credenciales de administrador robadas. Una vez autenticado, un atacante podría escribir arbitrariamente en cualquier ruta del servidor vulnerable.
El blog de Microsoft dice que sus investigadores observaron a los actores maliciososo de Hafnium explotando estas fallas para implementar web shells en sistemas específicos con el fin de robar credenciales y datos de buzones de correo.
¿Cómo solucionar las vulnerabilidades de Exchange?
Microsoft lanzó parches out-of-the-band para Microsoft Exchange Server el 2 de marzo que abordan las cuatro vulnerabilidades explotadas, así como las tres vulnerabilidades no relacionadas. En este enlace podrás encontrar los parches, deberás la realizar las actualizaciones lo antes posible.
¿Cómo identificar el ataque de Hafnium en mis servidores?
El equipo de ciberseguridad de Microsoft ha creado scripts para ejecutar una verificación de los IOC (Indicadores de Compromiso) de Hafnium. Estos scripts se encuentran disponibles en: https://github.com/microsoft/CSS-Exchange/tree/main/Security.
Necesitas ayuda para detectar y eliminar Hafnium de tu red, nosotros realizamos el Threat Hunting por ti. Contáctanos ahora.
Cyberseguridad México © 2021
