Microsoft detectó 4 vulnerabilidades del día cero explotadas activamente, juntas permiten acceder completamente al servidor.
Las mismas fueron desarrolladas por HAFNIUM, grupo de atacantes patrocinado por China, además, la vulnerabilidad ya ha sido adoptada por otros grupos de ciberdelincuentes en ataques generalizados.
El grupo de ciberdelincuentes utiliza las vulnerabilidades para acceder a los servidores Exchange locales, que les permite el ingreso a cuentas de correo electrónico para instalar el malware que facilita el acceso a largo de plazo a los entornos de la víctima.
Las vulnerabilidades críticas se denominaron CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065. Estas afectaron las instalaciones de Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019, Sin embargo, Exchange Online no se vió afectado.
Entre los errores que atendía cada falla están:
- CVE-2021-26855: es una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Exchange que permitió al atacante enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.
- CVE-2021-26857: es una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada. La deserialización insegura es cuando un programa deserializa datos no confiables y controlables por el usuario. La explotación de esta vulnerabilidad le dio a HAFNIUM la capacidad de ejecutar código como SYSTEM en el servidor Exchange. Esto requiere permiso de administrador u otra vulnerabilidad para explotar.
- CVE-2021-26858: es una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación en Exchange. Si HAFNIUM pudiera autenticarse con el servidor de Exchange, entonces podrían usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podrían autenticarse explotando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.
- CVE-2021-27065: es una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación en Exchange. Si HAFNIUM pudiera autenticarse con el servidor de Exchange, entonces podrían usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podrían autenticarse explotando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.
Los CVEs que fueron afectados en el 0 exploit day se encuentran ya en el Centro de Respuestas de seguridad de Microsoft (MSRC)
Es necesario aplicar la actualización para mitigar por completo el riesgo de ser víctima. El MSRC se encargó de lanzar las actualizaciones con los parches correspondientes e instar a los usuarios a seguir los pasos para proteger sus cuentas de los posibles ataques.
Para instalar las actualizaciones puedes acceder a los siguientes enlaces, correspondientes a cada versión de Exchange:
Fuente:
Redacción propia.