Explotación activa de vulnerabilidad de riesgo alto en servidores Microsoft Exchange no actualizados

Investigadores de seguridad han revelado recientemente que más del 60% de los usuarios que utilizan icrosoft Exchange siguen vulnerablesM a la explotación de la vulnerabilidad de riesgo alto identificada con el CVE-2020-0688, que fue abordada en el Patch Tuesday de Febrero de este año y cuya explotación exitosa permitiría a un atacante autenticado la ejecución de código remoto con privilegios del sistema.

Productos Afectados:

  • Microsoft Exchange Server 2019 Cumulative Update 2;
  • Microsoft Exchange Server 2016 Cumulative Update 14;
  • Microsoft Exchange Server 2013 Cumulative Update 22;
  • Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 29.

La vulnerabilidad en sí, reside en los servidores Microsoft Exchange debido a que el servidor no crea correctamente claves únicas durante la instalación. El conocimiento de la clave de validación podría permitir a un atacante autenticado con un buzón, pasar objetos arbitrarios para que estos sean deserializados por la aplicación web, la cual se ejecuta como SYSTEM. El uso de claves estáticas podría permitir a un atacante autenticado con cualquier privilegio, enviar una solicitud maliciosa especialmente diseñada al componente ECP (Exchange Control Panel) del servidor Exchange y ejecutar código arbitrario con permisos SYSTEM.

Este fallo fue abordado por Microsoft el 11 de Febrero de este año como parte de las actualizaciones de seguridad del Patch Tuesday, además, el pasado Marzo los administradores de los servidores Microsoft Exchange fueron advertidos sobre una explotación activa de la vulnerabilidad, por parte de los ciberdelincuentes. Sin embargo, descubrimientos recientes dieron a conocer que de los más de 400 mil servidores Exchange conectados a internet, el 61% de los servidores Exchange 2010, 2013, 2016 y 2019 no se encuentran actualizados, por lo tanto, siguen vulnerables a este fallo.

La actualización de seguridad para esta vulnerabilidad debe de ser instalada para cualquier servidor con el Panel de control Exchange (ECP) activado, lo cual es común en servidores que cuentan con la función de servidor de acceso de cliente (CAS), donde los usuarios accederán a la Outlook Web App.

Por lo tanto, con los reportes de explotación activa de esta vulnerabilidad en servidores Exchange, los administradores deberían de determinar si alguien ha intentado explotar la vulnerabilidad en su entorno, visualizando las entradas en el registro de eventos de Windows e IIS (Internet Information Services), debido a que los códigos de explotación publicados a lo largo del internet dejan atrás “artefactos” en el registro de eventos, con la cuenta de usuario comprometida, así como también un mensaje largo de error que incluye un texto de estado de vista invalido.

Recomendaciones:

  • Aplicar el parche de seguridad publicado por Microsoft, disponible en el apartado “Security Updates” del aviso de seguridad.
  • Una vez hecho esto, se recomienda determinar si Exchange ha sido actualizado correctamente, para ello se debe comprobar el software de gestión de parches, las herramientas de gestión de vulnerabilidades o los propios hosts, para asegurar si la actualización ha sido instalada correctamente.

Referencias:

Compartir: