A día 3 de marzo de 2021, Microsoft ha publicado una actualización de seguridad crítica para Microsoft Exchange Server que soluciona cuatro vulnerabilidades de tipo 0-day. [1]
ANÁLISIS
La actualización de seguridad corrige las vulnerabilidades designadas como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, y CVE-2021-27065. [3][4][5][6] Esta actualización ha sido publicada fuera del ciclo habitual de actualizaciones de Microsoft debido a la detección de exploits siendo usados activamente en ataques dirigidos. [1][8]
Un atacante remoto podría aprovechar varias de estas vulnerabilidades de ejecución remota de código para tomar el control de un sistema afectado, o aprovechar otra de las vulnerabilidades para obtener acceso a información confidencial. La explotación de estas vulnerabilidades son parte de una cadena de ataques, en la que el ataque inicial requiere establecer una conexión «desconfiable» con el servidor de Exchange en el puerto 443.
Las versiones afectadas son las siguientes:
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
RECOMENDACIONES
Para mitigar la primera acción de la cadena de ataques, se recomienda restringir las conexiones desconfiables con el servidor, o configurar una VPN para separar el servidor de Exchange del acceso externo.
Se recomienda instalar inmediatamente las actualizaciones de Microsoft en los servidores de Exchange con versiones afectadas, priorizando aquellos servidores de Exchange expuestos a internet.
Se recomienda comprobar los indicadores de compromiso, apoyándose en la aplicación de las reglas de detección publicadas por el equipo de Volexity y Nextron Systems. [8][9]
INDICADORES DE COMPROMISO (IOC)
Direcciones IP
165.232.154.116
104.248.49.97
103.77.192.219
104.140.114.110
104.250.191.110
108.61.246.56
149.28.14.163
157.230.221.198
167.99.168.251
185.250.151.72
192.81.208.169
203.160.69.66
211.56.98.146
5.254.43.18
5.2.69.14
80.92.205.81
91.192.103.43
Peticiones HTTP
POST /owa/auth/Current/
POST /ecp/default.flt
POST /ecp/main.css
POST /ecp/<single char>.js
Posibles User-Agent
DuckDuckBot/1.0;+(+http://duckduckgo.com/duckduckbot.html)
facebookexternalhit/1.1+(+http://www.facebook.com/externalhit_uatext.php)
Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)
Mozilla/5.0+(compatible;+Bingbot/2.0;++http://www.bing.com/bingbot.htm)
Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html
Mozilla/5.0+(compatible;+Konqueror/3.5;+Linux)+KHTML/3.5.5+(like+Gecko)+(Exabot-Thumbnails)
Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)
Mozilla/5.0+(compatible;+YandexBot/3.0;++http://yandex.com/bots)
Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/51.0.2704.103+Safari/537.36
antSword/v2.1
Googlebot/2.1+(+http://www.googlebot.com/bot.html)
Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)
REFERENCIAS
[2] https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
[5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
[6] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
[7] https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
[8] https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
[9] https://twitter.com/cyb3rops/status/1367045727017394177