Seleccionar página

Actualización – Vulnerabilidades Exchange

por | Mar 2, 2021 | Ciberdefensa, Ciberseguridad, Conectividad, E-mail, Servicios y aplicaciones, Tecnología, Usuario | 0 Comentarios

Nivel de criticidad: crítico

El Centro de Operaciones de Ciberseguridad – CSOC-CERT de Gamma Ingenieros informa sobre diferentes vulnerabilidades detectadas en diferentes versiones de Microsoft Exchange Server.

Antecedentes: Microsoft Exchange Server es la plataforma de correo electrónico, calendario, contactos, programación y colaboración de Microsoft. Está diseñado para permitir a los usuarios acceder a la plataforma de mensajería desde dispositivos móviles, computadoras de escritorio y sistemas basados en arquitectura web.

Vulnerabilidad: es necesario señalar que son cuatro los puntos a tener en cuenta como una falsificación de solicitud del lado del servidor, tal  como se relaciona a continuación.

  • CVE-2021-26855: utilizada para autenticarse como el servidor Exchange, un servicio de mensajería unificada.
  • CVE-2021-26857: que permite la ejecución de código como SYSTEM y dos post-autenticación arbitrarios vulnerabilidades de escritura de archivos.
  • CVE-2021-26858 y CVE-2021-27065: que juntas crean una tormenta de explotación perfecta.

 

CVE PUNTUACIÓN: CVE-2021-26855  / CVE-2021-26857  / CVE-2021-26858 / CVE-2021-27065
CRITICIDAD: CVSS 9.8/10 – CVSS 5.3/10 – CVSS 8.8/10
TIPO: RCE / SSRF / Heap Overflow
PRODUCTOS AFECTADOS: vCenter / vCenter / ESXI
VERSIONES AFECTADAS: 7.0 U1c / 6.7 U3l, 6.5 U3n / 7.0 – 6.7 – 6.5

 

Evidencias de explotabilidad: a continuación, se crea un shell web para obtener el control remoto del servidor; de este modo, el acceso remoto se usa para robar datos de la red y se gestiona en tres etapas, partiendo por el acceso al Exchange Server al cual, se tiene acceso autorizado gracias a CVE-2021-26855.

 

Indicadores de compromiso (IOC): 

 

Recomendaciones y mitigación:

• Existe una prueba de concepto (PoC) pública que puede ser utilizada fácilmente por ciber delincuentes para explotar la vulnerabilidad y tener control del sistema, por lo que es urgente ejecutar actualización de los parches que mitigan la vulnerabilidad lo antes posible.

• Deshabilitar temporalmente el acceso externo a Microsoft Exchange hasta que se pueda aplicar un parche o acceder al Exchange por medio de VPN.

• Activar o solicitar a través de un caso a GammaCSOC-CERT la habilitación y/o bloqueo de las siguientes firmas en los equipos Fortigate, en caso de contar con nuestro servicio de gestión:

  1. https://www.fortiguard.com/encyclopedia/ips/49950/ms-exchange-serverproxyrequesthandler-
    remote-code-execution
  2. https://www.fortiguard.com/encyclopedia/ips/49951/ms-exchange-server-umcore-
    remote-code-execution
  3. https://www.fortiguard.com/encyclopedia/ips/49954/ms-exchange-server-cve-
    2021-26858-remote-code-execution
  4. https://www.fortiguard.com/encyclopedia/ips/49952/ms-exchange-server-cve-
    2021-27065-remote-code-execution

• Para mayor información sobre vulnerabilidades de sus sistemas contacte con su gerente de cuenta.

 

 

 

 

 

 

Puedes ampliar la información visitando: • https://www.microsoft.com/security/blog/2021/03/02/hafnium-targetingexchange-
servers/ • https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updatesreleased-
for-exchange-server/ • https://techcommunity.microsoft.com/t5/exchange-team-blog/releasedmarch-
2021-exchange-server-security-updates/ba-p/2175901