Se ha detectado una campaña de ciberataques dirigida a servidores Microsoft Exchange expuestos públicamente, en la que actores de amenazas no identificados inyectan código malicioso en las páginas de inicio de sesión para capturar credenciales de acceso. Esta técnica aprovecha vulnerabilidades conocidas, como ProxyShell, para insertar código JavaScript que intercepta los datos ingresados por los usuarios, incluyendo nombres de usuario, contraseñas, cookies y detalles del navegador.
A continuación, se enumeran las principales vulnerabilidades aprovechadas por los atacantes para comprometer los servidores Exchange:
- CVE-2014-4078: Vulnerabilidad en Microsoft IIS que permite evadir ciertas funciones de seguridad, lo que podría facilitar ataques no autorizados si se explota adecuadamente.
- CVE-2020-0796: Vulnerabilidad crítica en el protocolo SMBv3 (también conocida como “SMBGhost”) que afecta a sistemas Windows y puede permitir a un atacante ejecutar código remoto en sistemas vulnerables sin autenticación previa.
- CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065: Conjunto de vulnerabilidades críticas en Microsoft Exchange Server, conocidas como «ProxyLogon». Permiten la ejecución remota de código y el acceso no autorizado a buzones. Estas fallas fueron ampliamente explotadas en campañas de ciberataques.
- CVE-2021-31206: Vulnerabilidad que afecta a Microsoft Exchange Server permitiendo a atacantes ejecutar código remoto en el sistema si se explota con éxito.
- CVE-2021-31207, CVE-2021-34473, CVE-2021-34523: Conjunto de vulnerabilidades críticas en Microsoft Exchange Server, conocidas como «ProxyShell». Su explotación permite a los atacantes ejecutar comandos remotos, acceder a información confidencial o comprometer completamente el servidor.
Productos afectados y soluciones:
| CVE | Productos Afectados | Solución |
| CVE-2014-4078 | Microsoft IIS 8.0 y 8.5 en Windows Server 2012 / 2012 R2 | Aplicar el parche de seguridad del boletín MS14-076 (noviembre de 2014). |
| CVE-2020-0796 | Windows 10 (versiones 1903/1909/2004) y Windows Server 2019 | Instalar el parche de marzo 2020 y deshabilitar la compresión SMBv3 si aplica. |
| CVE-2021-26855 | Microsoft Exchange Server 2013, 2016, 2019 | Instalar actualizaciones acumulativas (CU) y parches críticos de marzo 2021. |
| CVE-2021-26857 | Microsoft Exchange Server 2013, 2016, 2019 | Aplicar las actualizaciones de seguridad de marzo 2021. Parte del conjunto ProxyLogon. |
| CVE-2021-26858 | Microsoft Exchange Server 2013, 2016, 2019 | Aplicar parches de marzo 2021 para mitigar ejecución remota de código. |
| CVE-2021-27065 | Microsoft Exchange Server 2013, 2016, 2019 | Instalar los parches de seguridad críticos de marzo 2021. |
| CVE-2021-31206 | Microsoft Exchange Server 2013, 2016, 2019 | Aplicar las actualizaciones de seguridad de julio 2021 (Patch Tuesday). |
| CVE-2021-31207, CVE-2021-34473 | Microsoft Exchange Server 2013, 2016, 2019 | Aplicar parches de seguridad de julio 2021. Ambas forman parte del vector ProxyShell. |
| CVE-2021-34523 | Microsoft Exchange Server 2013, 2016, 2019 | Aplicar las actualizaciones acumulativas (CU) de julio 2021. Parte del vector ProxyShell. |
Recomendaciones:
- Aplicar inmediatamente todas las actualizaciones de seguridad para Microsoft Exchange Server y sistemas afectados.
- Verificar la integridad del código de las páginas de inicio de sesión de OWA en los servidores Exchange.
- Monitorear los registros del servidor y tráfico de red para detectar actividad sospechosa y posibles exfiltraciones de datos.
- Implementar segmentación de red y restringir el acceso a servidores Exchange únicamente desde redes internas.
Referencias: