Centro Nacional de Respuesta a Incidentes de Seguridad Informática

De las doce vulnerabilidades detectadas seis son de severidad alta, dos son categorizadas como “RCE”, o de “ejecución de código remoto” y están siendo activamente explotadas, afectando a los productos Microsoft Excel y Microsoft Exchange Server 2013, 2016 y 2019. Las otras cuatro vulnerabilidades son categorizadas de severidad importante/alta y afectan a varios productos de Microsoft.

Detalle técnicos

Las vulnerabilidades del tipo “0-day”

Cuatro de las seis vulnerabilidades aún no cuentan con reportes públicos de intentos de explotación activa en Internet:

• CVE-2021-38631 - Windows Remote Desktop Protocol (RDP) Information Disclosure Vulnerability
• CVE-2021-41371 - Windows Remote Desktop Protocol (RDP) Information Disclosure Vulnerability
• CVE-2021-43208 - 3D Viewer Remote Code Execution Vulnerability
• CVE-2021-43209 - 3D Viewer Remote Code Execution Vulnerability

Vulnerabilidad “0 day” con explotación activa para Microsoft Excel

En particular, existen reportes de explotación para la CVE-2021-42292, con severidad alta, que afecta al producto Microsoft Excel.

La vulnerabilidad se produce por un error en la función de seguridad de Microsoft Excel, y su explotación podría permitir la ejecución de código al abrir un archivo especialmente diseñado para este fin.

Vulnerabilidad “0 day” que afecta a Microsoft Exchange

La vulnerabilidad CVE-2021-42321 es del tipo “Ejecución remota de código” (RCE por sus siglas en inglés); su falla existe debido a la validación incorrecta de los argumentos command-let (cmdlet). Para que sea explotable, quien ataca debe autenticarse en el sistema (son conocidas como vulnerabilidades ‘post-authentication’).

Es importante aclarar que esta vulnerabilidad podría encadenarse con una vulnerabilidad ‘pre-autenticacion’ para lograr el requerimiento de autenticación.

Actualmente existen reportes de  explotación activa de vulnerabilidades utilizadas para implantar artefactos maliciosos en servidores Exchange. Microsoft informa que ha detectado que muchos de estos  “ataques dirigidos limitados”  utilizan esta nueva vulnerabilidad.

Vulnerabilidades críticas en varios productos de Microsoft

Las vulnerabilidades del tipo crítica son 6 en total, estas no cuentan aún con reportes públicos de intentos de explotación activa en Internet:

• CVE-2021-3711 - OpenSSL: CVE-2021-3711 SM2 Decryption Buffer Overflow
• CVE-2021-26443 - Microsoft Virtual Machine Bus (VMBus) Remote Code Execution Vulnerability
• CVE-2021-38666 - Remote Desktop Client Remote Code Execution Vulnerability
• CVE-2021-42316 - Microsoft Dynamics 365 (on-premises) Remote Code Execution Vulnerability
• CVE-2021-42298 - Microsoft Defender Remote Code Execution Vulnerability
• CVE-2021-42279 - Chakra Scripting Engine Memory Corruption Vulnerability

Recomendaciones

En vista de la gravedad de las vulnerabilidades, instamos a instalar lo antes posible las actualizaciones de seguridad siguiendo las instrucciones y guías de Microsoft. Acceder a las guías.

Respecto a la vulnerabilidad que afecta al producto Exchange, Microsoft realizó una publicación específica sobre los parches de seguridad del producto. Acceder a la publicación.

Detección

Puntualmente, para la vulnerabilidad que afecta al producto Exchange, Microsoft público un script y la siguiente consulta de Powershell para detectar si el servidor fue comprometido:

Get-WinEvent -FilterHashtable @{ LogName='Application'; ProviderName='MSExchange Common'; Level=2 } | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }

Si la consulta de powershell devuelve resultados es necesario realizar un análisis más exhaustivo del estado del servidor. 

Referencias

Enlace actualizaciones noviembre de productos Microsoft

Enlace actualizaciones de Microsoft Exchange

Enlace a Bleeping Computer

Enlace a Bleeping Computer – Microsoft Exchange