marzo, 2021

Microsoft ha lanzado actualizaciones de emergencia para abordar cuatro fallos de día cero que afectan a las versiones de Microsoft Exchange Server 2013, 2016 y 2019. Sin embargo, estas vulnerabilidades no afectan a la version de Exchange Online. Se han observado actores de amenazas explotando las vulnerabilidades para acceder a servidores de Exchange locales, lo que les permitió robar correos electrónicos, descargar datos y comprometer máquinas con malware para el acceso a largo plazo a las redes de víctimas.

Las vulnerabilidades de Microsoft Exchange Server son las siguientes:

1. CVE-2021-26855: CVSS 9.1:  una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que conduce a solicitudes HTTP creadas enviadas por atacantes no autenticados. Los servidores deben poder aceptar conexiones que no sean de confianza sobre el puerto 443 para que se active el error.
2. CVE-2021-26857: CVSS 7.8:  una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada de Exchange, lo que permite la implementación arbitraria de código en SYSTEM. Sin embargo, esta vulnerabilidad debe combinarse con otra o se deben usar credenciales robadas.
3. CVE-2021-26858: CVSS 7.8:  una vulnerabilidad de escritura de archivos arbitrarios posterior a la autenticación para escribir en rutas de acceso.
4. CVE-2021-27065: CVSS 7.8:  una vulnerabilidad de escritura de archivos arbitrarios posterior a la autenticación para escribir en rutas de acceso.

Todas estas vulnerabilidades pueden conducir a la ejecución remota de código (RCE), secuestro del servidor, puertas traseras, robo de datos, y potencialmente más implementación de malware.

Microsoft proporciono guías provisionales de opciones de mitigación en todo caso que no sea posible parchear inmediatamente. El 8 de marzo, se publicó un conjunto adicional de actualizaciones de seguridad que se pueden aplicar a actualizaciones acumulativas (CPU) más antiguas y no admitidas como medida temporal.

Las revisiones incluyen actualizaciones para las siguientes actualizaciones acumulativas:

• Exchange Server 2010 (update requires SP 3 or any SP 3 RU – this is a Defense in Depth update)
• Exchange Server 2013 (update requires CU 23)
• Exchange Server 2016 (update requires CU 19 or CU 18)
• Exchange Server 2019 (update requires CU 8 or CU 7)