El 3 de març de 2021, Microsoft ha publicat una actualització de seguretat crítica per a Microsoft Exchange Server que soluciona quatre vulnerabilitats de tipus 0-day. [1]
ANÀLISI
L’actualització de seguretat corregeix les vulnerabilitats designades com CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, i CVE-2021-27065. [3][4][5][6] Aquesta actualització ha sigut publicada fora del cicle habitual d’actualitzacions de Microsoft a causa de la detecció d’exploits que eren usats activament en atacs dirigits. [1][8]
Un atacant remot podria aprofitar diverses d’aquestes vulnerabilitats d’execució remota de codi per a prendre el control d’un sistema afectat, o aprofitar una altra de les vulnerabilitats per a obtindre accés a informació confidencial. L’explotació d’aquestes vulnerabilitats són part d’una cadena d’atacs, en la qual l’atac inicial requereix establir una connexió “no segura” amb el servidor d’Exchange en el port 443.
Les versions afectades són les següents:
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
RECOMANACIONS
Per a mitigar la primera acció de la cadena d’atacs, es recomana restringir les connexions que no són segures amb el servidor, o configurar una VPN per a separar el servidor d’Exchange de l’accés extern.
Es recomana instal·lar immediatament les actualitzacions de Microsoft en els servidors d’Exchange amb versions afectades, i prioritzar aquells servidors d’Exchange exposats a internet.
Es recomana comprovar els indicadors de compromís i secundar l’aplicació de les regles de detecció publicades per l’equip de Volexity i Nextron Systems. [8][9]
INDICADORS DE COMPROMÍS (IOC)
Adreces IP
165.232.154.116
104.248.49.97
103.77.192.219
104.140.114.110
104.250.191.110
108.61.246.56
149.28.14.163
157.230.221.198
167.99.168.251
185.250.151.72
192.81.208.169
203.160.69.66
211.56.98.146
5.254.43.18
5.2.69.14
80.92.205.81
91.192.103.43
Peticions HTTP
POST /owa/auth/Current/
POST /ecp/default.flt
POST /ecp/main.css
POST /ecp/<single char>.js
Possibles User-Agent
DuckDuckBot/1.0;+(+http://duckduckgo.com/duckduckbot.html)
facebookexternalhit/1.1+(+http://www.facebook.com/externalhit_uatext.php)
Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)
Mozilla/5.0+(compatible;+Bingbot/2.0;++http://www.bing.com/bingbot.htm)
Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html
Mozilla/5.0+(compatible;+Konqueror/3.5;+Linux)+KHTML/3.5.5+(like+Gecko)+(Exabot-Thumbnails)
Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)
Mozilla/5.0+(compatible;+YandexBot/3.0;++http://yandex.com/bots)
Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/51.0.2704.103+Safari/537.36
antSword/v2.1
Googlebot/2.1+(+http://www.googlebot.com/bot.html)
Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)
REFERÈNCIES
[2] https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
[5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
[6] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
[7] https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
[8] https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
[9] https://twitter.com/cyb3rops/status/1367045727017394177