Microsoft ha publicado una actualización urgente y fuera de ciclo para Exchange Server (on-premise) en respuesta a que se han detectado ataques activos por un actor de amenazas sofisticado. Como se espera que los exploits sean públicos, se insta a las organizaciones a aplicar el parche de forma urgente, en particular a las que están directamente expuestas a Internet. Exchange Online no se ve afectado.

Las vulnerabilidades afectan a Microsoft Exchange Server versiones: 2010, 2013, 2016 y 2019. Microsoft Exchange Server 2010 también recibirá el parche a pesar de que está fuera de soporte. CISA ya ha publicado una alerta al respecto.

Las actualizaciones cubren cuatro vulnerabilidades graves (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065) que combinadas permiten acceso completo al servidor. En enero habían sido reportados por la empresa Volexity y resultan bastante sencillos de aprovechar si el Exchange está expuesto directamente a Internet. Incluso, la empresa publicó videos con detalles.

Estos fallos están siendo explotados por un grupo chino denominado Hafnium y, a través de los 0-Day ahora conocidos, es posible insertar una shell remota en el servidor y controlarlo.

Hafnium ha comprometido previamente a las víctimas mediante la explotación de vulnerabilidades en servidores con acceso a Internet y ha utilizado frameworks legítimos de código abierto, como Covenant. Una vez que han obtenido acceso a una red normalmente extrae datos a sitios de intercambio de archivos como MEGA.

La firma ESET dijo que también encontró evidencia de que CVE-2021-26855 está siendo explotado activamente por varios grupos de ciberespionaje, incluidos LuckyMouse, Tick y Calypso, que se encuentran en servidores de ataque. en EE.UU., Europa, Asia y Oriente Medio.

¿Cómo puedo saber si mis servidores ya se han visto comprometidos?

La información sobre indicadores de compromiso (IOC), como qué buscar y cómo encontrar pruebas de una explotación exitosa (si sucedió), se puede encontrar en HAFNIUM Targeting Exchange Servers.

El equipo de investigación de seguridad de Microsoft Defender ha hecho una publicación relacionada llamada Defendiendo servidores Exchange que ayuda a comprender algunas prácticas generales sobre la detección de actividad maliciosa y mejorar la postura de seguridad.

Para obtener un inventario del estado de nivel de actualización de los servidores Exchange locales, se puede utilizar este script desde GitHub (utilizar la última versión), el cual indica si hay algún tipo de atraso en las actualizaciones de Exchange Server locales. El script no es compatible con Exchange Server 2010.

Si bien esas actualizaciones de seguridad no se aplican a Exchange Online / Office 365, se deben aplicar estas actualizaciones de seguridad en el Exchange Server local, incluso si se usa solo con fines de administración.

Fuente y redacción: segu-info.com.ar

Compartir