¿Cuál es el problema?
En enero de 2021, Volexity descubrió un día cero de falsificación de petición en el lado del servidor (SSRF) en Microsoft Exchange Server (CVE-2021-26855) cuando fue explotado en uno de sus servidores. La vulnerabilidad de preautenticación es grave, ya que permite a los atacantes volcar el contenido de los buzones de correo, y una investigación posterior descubrió que los atacantes encadenaban la vulnerabilidad SSRF con un exploit RCE adicional (CVE-2021-27065) para ejecutar código de forma remota en servidores Exchange. Se observó que esta vulnerabilidad estaba siendo explotada en la naturaleza desde el 3 de enero de 2021.
El 2 de marzo de 2021, Microsoft publicó varias actualizaciones de seguridad que parcheaban estas vulnerabilidades críticas (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) en Microsoft Exchange Server 2013, 2016 y 2019; recientemente también publicaron actualizaciones adicionales para Exchange 2010. Las versiones afectadas incluyen:
- 2013 CU 23
- 2016 CU 19
- 2016 CU 18
- 2019 CU 8
- 2019 CU 7
A 9 de marzo de 2021, Censys observó 251.211 servidores Microsoft Exchange (versiones 2013, 2016 o 2019) a través de Internet. Exchange Server incluye información sobre la versión en la página de Outlook Web Access (OWA), lo que nos permitió determinar si los servidores ejecutan una versión afectada de Exchange. Más del 50% de los servidores Exchange de 2013, 2016 y 2019 son una de esas 5 versiones, aunque observamos que los datos de versión notificados no incluyen el nivel de parche del servidor, lo que nos impide detectar si se ha aplicado un hotpatch que solucione estas vulnerabilidades específicas.
Más del 50% de los servidores Exchange 2013, 2016 y 2019 son una de esas 5 versiones específicas afectadas.
Los principales países en los que se observaron servidores Exchange son Estados Unidos, Alemania, Reino Unido, Países Bajos y Rusia.
Además de identificar los servidores Microsoft Exchange en todo el mundo, Censys también mapeó dónde se están ejecutando estos servidores por proveedor de nube.
¿Qué importancia tiene?
Los servidores afectados están muy extendidos por todo el mundo y afectan a distintos sectores. Tomamos una muestra aleatoria de IPs en los Estados Unidos y las asignamos a industrias. Descubrimos que aproximadamente el 20% de los servidores Exchange de EE.UU. están asociados a instituciones educativas como universidades. Sin embargo, la propagación a través de las industrias es notable, y afecta a todos, desde el comercio minorista hasta las telecomunicaciones y las empresas de software.
Microsoft ha informado de la creciente preocupación por la explotación activa y continuada de distintos grupos, que tiene graves consecuencias para las organizaciones. Las preocupaciones incluyen:
- Web Shells: Se observó que se dejaban caer web shells en los sistemas, lo que permitía el uso futuro de puertas traseras.
- Movimiento lateral: Intentos de moverse lateralmente y comprometer aún más a la organización.
- Malware / Ransomware: Instalación de malware o ransomware adicional.
- Volcado de credenciales: Robo de credenciales de sistemas para su uso futuro o nuevos intentos de explotar la organización.
En informes adicionales de Volexity también se detectó la exfiltración activa de datos, como bandejas de entrada de correo electrónico completas.
¿Qué hago al respecto?
Aproveche las herramientas de código abierto de Microsoft para identificar si sus servidores Microsoft Exchange son vulnerables lo antes posible. Microsoft publicó un conjunto de scripts nmap y powershell que se pueden utilizar para identificar si usted es vulnerable, y han sido aprobados por CISA.
Si encuentra servidores Exchange vulnerables en su entorno, implante inmediatamente los últimos parches de seguridad de Microsoft y asegúrese de que los datos de su organización están respaldados.
Recursos