Cabecera-v2-web.jpg

Vulnerabilidades RCE en Microsoft Exchange


25/11/2021

La vulnerabilidad identificada como CVE-2021-42321, de severidad alta con una puntuación de 8.8, corresponde a un fallo de ejecución remota de código (RCE) y se debe a una incorrecta validación de los argumentos command-let (cmdlet) que permitiría a un atacante remoto autenticado tomar el control del sistema afectado.

CVE-2020-16875: Microsoft Exchange Remote Code Execution Vulnerability Alert • InfoTech News

Esta vulnerabilidad es esencialmente un error (bug) en la forma en que Microsoft Exchange permite que se almacenen ciertos datos en la sección “BinaryData” de la configuración del usuario; específicamente cuando se establece la configuración del usuario con un “payload” en la sección “BinaryData” y luego el atacante solicita un token de acceso “ClientAccessToken”, desencadena un error (bug) que da como resultado la ejecución de dicho “payload”.

La vulnerabilidad afecta a Microsoft Exchange Server 2016 y 2019.

Debido a la publicación del PoC, se ha registrado un aumento en los intentos de los atacantes de buscar e intentar explotar esta vulnerabilidad, por lo que se recomienda aplicar inmediatamente los parches disponibles.

La explotación exitosa de esta vulnerabilidad podría resultar en que un atacante obtenga privilegios de administración total del componente afectado. Por lo tanto, el atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los privilegios del usuario.

Desde el CERT-PY recomendamos verificar que su servidor Microsoft Exchange se encuentre actualizado, específicamente verificar que cuente con los siguientes parches correctamente instalados y aplicados:

Información adicional:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11