Microsoft ha lanzado actualizaciones de seguridad para múltiples vulnerabilidades con severidad crítica de día cero que han sido detectadas en ataques limitados y dirigidos que explotan versiones on-premise de Microsoft Exchange Server.
Según el Blog de Microsoft, las vulnerabilidades explotadas tienen como identificador CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, estas vulnerabilidades se utilizan como parte de una cadena de ataque. Los ataques incluyen tres pasos. Primero, se obtiene acceso a un servidor Exchange ya sea con contraseñas robadas o utilizando vulnerabilidades para disfrazarse como alguien que debería tener acceso. En segundo lugar, crearía lo que se llama un shell web para controlar el servidor comprometido de forma remota. En tercer lugar, utilizaría ese acceso remoto, para robar datos de la red de una organización.
Las vulnerabilidades afectan a Microsoft Exchange Server (on-premise), pero no a Exchange Online. Las versiones vulnerables son las siguientes:
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
Microsoft Exchange Server 2010 no es vulnerable para este tipo de ataque, pero se ha lanzado una actualización con fines de defensa en profundidad.
Como mitigación para las vulnerabilidades, se puede proteger restringiendo las conexiones no confiables o configurando una VPN para separar el servidor Exchange del acceso externo. El uso de esta mitigación solo protegerá contra la parte inicial del ataque.
Se recomienda que los clientes apliquen las actualizaciones a los sistemas afectados de manera inmediata para protegerse contra estas vulnerabilidades y prevenir futuros abusos. Se debe priorizar la instalación de actualizaciones en los servidores Exchange que se enfrentan al exterior.
Más información:
- https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/
- https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855