Recientmente se han descubierto 4 vulnerabilidades críticas de día 0 en Microsoft Exchange Server. Tres de ellas son de explotación remota (CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065) y permiten la ejecución de código remoto; una de ellas, CVE-2021-26855, puede ser utilizada para obtener información sensible del servidor, pudiendo derivar en el robo de información de autenticación.
Existe evidencia de que las 4 vulnerabilidades están siendo explotadas activamente en conjunto en el marco de ataques dirigidos. A continuación, se detallan las vulnerabilidades:
- CVE-2021-26855: vulnerabilidad del tipo server-side request forgery (SSRF) que permite al atacante enviar una petición HTTP arbitraria especialmente formada y autenticarse en el servidor
- CVE-2021-26857: vulnerabilidad de deserialización insegura en el servicio de mensaje unificado (Unified Messaging) que permite que datos no confiables y controlados por el usuario son deserializados por el servidor tal que permita la ejecución de código. En el caso de que el servicio se esté ejecutando con con privilegios de SYSTEM, el código se ejecutará con permisos de administración.
- CVE-2021-26858 y CVE-2021-27065: son vulnerabilidades de escritura arbitraria de archivos, posterior a la autenticación. Las mismas pueden ser explotadas de manera aislada luego de comprometer credenciales legítimas o en combinación con CVE-2021-26855, sin necesidad de credenciales. Ambas pueden derivar en la ejecución remota arbitraria de código.
Los ataques observados por los investigadores en primer lugar, los atacantes logran el acceso al servidor Exchange a través de la explotación de la vulnerabilidad CVE-2021-26855. En algunos casos se observó que los atacantes utilizaron credenciales robadas previamente por otros medios. Seguidamente, combinando las vulnerabilidades CVE-2021-26857, CVE-2021-26858 y/o CVE-2021-27065, los atacantes crearon una webshell para controlar remotamente el servidor comprometido y de esta manera robar información de la red de la organización: libretas de contactos, buzones de correo, etc, base de datos del dominio, así como también información con miras al movimiento lateral a otros sistemas de la red. En algunos ataques se ha observado que los atacantes añadieron cuentas administrativas.
Microsoft ha publicado una actualización de emergencia que corrige las mencionadas vulnerabilidades. Se recomienda a todos los administradores instalar el parche cuanto antes. Exchange Online / Office 365 no está afectado, sin embargo, en caso de que cuente con una instancia on-premise, aunque sea solamente para administración, debe actualizarla. Para aplicar el parche de emergencia se debe asegurar que las actualizaciones acumulativas y de Rollup previas (Cumulative Update / Update Rollup – CU/RU)) ya estén instaladas.
Un investigador de Microsoft ha publicado un script para Nnmap, que puede ser utilizado para escanear su red en busca de servidores potencialmente vulnerables. El script puede ser descargado del siguiente enlace: Nmap script (Autor: Kevin Beaumont)
Luego de descar el script, guardelo en /usr/share/nmap/scripts y ejecute el siguiente comando:
nmap -p –script http-vuln-exchange
Para determinar si su servidor ha sido víctima de un ataque descrito en el presente boletín, puede seguir la siguiente guía de Microsoft para detectar indicadores de compromiso relevantes: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
En caso de detectar que su servidor fue comprometido, puede reportarlo a abuse@cert.gov.py para una investigación más profunda.
Más información: https://www.cert.gov.py/wp-content/uploads/2022/02/BOL-CERT-PY-2021-04_Vulnerabilidades_criticas_0-day_en_Microsoft_Exchange.pdf