Vulnerabilidades en Microsoft Exchange

Vulnerabilidad

Vulnerabilidades en Microsoft Exchange

03/03/2021

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

El 2 de marzo Microsoft publicó parches urgentes para corregir 4 vulnerabilidades del tipo “0 day”: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065.

De acuerdo a lo informado por Microsoft, dichas vulnerabilidades ya están siendo explotadas. Los ataques detectados consisten en la explotación y encadenamiento de las vulnerabilidades, afectando a los productos Microsoft Exchange versiones 2013, 2016 y 2019 (los servicios de Microsoft Online no se ven afectados).

Detalles técnicos

El encadenamiento y la explotación de las vulnerabilidades en su conjunto permiten la ejecución de código arbitrario con privilegios administrativos, extracción de información de buzones, bypass de autenticación, carga y adulteración de archivos.

La vulnerabilidad CVE-2021-26855 del tipo SSRF (Server-side request forgery) de severidad crítica, permite a un atacante explotar el componente OWA (Outlook Web App) de Microsoft Exchange mediante una petición HTTP especialmente formulada y ejecutar código con los privilegios heredados de la cuenta de servicio utilizada.

La CVE-2021-26857 permite la ejecución de programas con el usuario System en el servidor Exchange, debido a una deserialización insegura y requiere permisos administrativos en la ejecución de otra vulnerabilidad para ser explotada.

Las vulnerabilidades CVE-2021-26858 y CVE-2021-27065 requieren una cuenta de administrador previamente comprometida, con dicha cuenta es posible escribir de forma arbitraria en cualquier ubicación del sistema afectado.

Remediación

Si bien es posible quitar el acceso al puerto 443 del Exchange o publicarlo exclusivamente a través de una VPN para minimizar el área de exposición, esto únicamente mitiga el primer paso (CVE-2021-26855) de la cadena de vulnerabilidades presentes en el ataque, por lo que el ataque podría igualmente ser concretado si el atacante ya cuenta con acceso al servidor de Exchange, o de alguna manera consigue ejecutar un archivo malicioso.

Recomendaciones

Aplicar las actualizaciones de seguridad tal cual lo indica Microsoft en el apartado “Security Updates” de este artículo.

Referencias

HAFNIUM targeting Exchange Servers with 0-day exploits

Microsoft Exchange Server Remote Code Execution Vulnerability CVE-2021-26855

Microsoft Exchange Server Remote Code Execution Vulnerability CVE-2021-26857

Microsoft Exchange Server Remote Code Execution Vulnerability CVE-2021-26858

Microsoft Exchange Server Remote Code Execution Vulnerability CVE-2021-27065

Etiquetas

Amenazas y alertas