La NSA descubre nuevas vulnerabilidades que afectan a los servidores de Microsoft Exchange

En su lista de parches de abril, Microsoft implementó correcciones para un total de 114 fallas de seguridad, incluido un día cero explotado activamente y cuatro errores de ejecución remota de código en Exchange Server.

De los 114 defectos, 19 están clasificados como Críticos, 88 están clasificados como Importantes y uno está clasificado como Moderado en severidad.

El principal de ellos es CVE-2021-28310, una vulnerabilidad de escalada de privilegios en Win32k que se dice que está bajo explotación activa, lo que permite a los atacantes elevar los privilegios ejecutando código malicioso en un sistema de destino.

La firma de seguridad cibernética Kaspersky, que descubrió e informó la falla a Microsoft en febrero, vinculó el exploit de día cero con un actor de amenazas llamado Bitter APT, que se descubrió explotando una falla similar (CVE-2021-1732) en ataques a fines del año pasado.

«Es un exploit de escalada de privilegios (EoP) que probablemente se usa junto con otros exploits de navegador para escapar de las cajas de arena u obtener privilegios del sistema para un mayor acceso», dijo el investigador de Kaspersky, Boris Larin.

La NSA encontró nuevos errores que afectan al servidor de Exchange

Microsoft también solucionó cuatro fallas de ejecución remota de código (RCE) (CVE-2021-28480 a CVE-2021-28483) que afectan a los servidores Exchange locales 2013, 2016 y 2019 que fueron informados a la empresa por la Agencia de Seguridad Nacional de EE. UU. (NSA). Dos de los errores de ejecución de código no están autenticados y no requieren interacción del usuario, y tienen una puntuación CVSS de 9,8 sobre un máximo de 10.

Si bien el fabricante de Windows dijo que no había encontrado evidencia de vulnerabilidades activas en la naturaleza, se recomienda que los clientes instalen estas actualizaciones lo antes posible para proteger el entorno, particularmente a la luz de los hacks generalizados de Exchange Server el mes pasado y los nuevos hallazgos que los atacantes están intentando aprovechar el exploit ProxyLogon para implementar criptomineros maliciosos en los servidores de Exchange, con la carga útil alojada en un servidor de Exchange comprometido.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) también revisó la directiva de emergencia que emitió el mes pasado, afirmando que «estas vulnerabilidades representan un riesgo inaceptable para la empresa federal y requieren una acción inmediata y de emergencia», al tiempo que advierte que las fallas subyacentes pueden ser armado mediante la ingeniería inversa del parche para crear un exploit.

La firma de seguridad cibernética Check Point, que ha estado rastreando las amenazas cibernéticas en curso que explotan las fallas de Exchange Server, dijo que se han evitado un total de 110,407 ataques dirigidos a las industrias gubernamentales, manufactureras, financieras, de salud, legales y de seguros en los EE. UU., Reino Unido, Alemania, Países Bajos , y Brasil.

El FBI eliminó las puertas traseras de los servidores MS Exchange pirateados

Además, la Oficina Federal de Investigaciones (FBI) de los EE. UU. llevó a cabo una «acción exitosa» para «copiar y eliminar» los shells web colocados por los adversarios en cientos de computadoras de las víctimas utilizando las fallas de ProxyLogon. Se dice que el FBI borró los shells web que instaló Hafnium y que podrían haberse utilizado para mantener y escalar el acceso persistente y no autorizado a las redes estadounidenses.

«El FBI realizó la eliminación emitiendo un comando a través del shell web al servidor, que fue diseñado para hacer que el servidor elimine solo el shell web (identificado por su ruta de archivo única)», dijo el Departamento de Justicia en un comunicado que detalla el operación autorizada por el tribunal.

27 fallas de RCE en Windows RPC y otras correcciones

Microsoft también dijo que se conocían públicamente cuatro vulnerabilidades adicionales en el momento del lanzamiento, pero que no se explotaron:

  • CVE-2021-28458: Vulnerabilidad de elevación de privilegios de la biblioteca Azure ms-rest-nodeauth
  • CVE-2021-27091: Vulnerabilidad de elevación de privilegios del servicio RPC Endpoint Mapper
  • CVE-2021-28437: vulnerabilidad de divulgación de información del instalador de Windows
  • CVE-2021-28312: vulnerabilidad de denegación de servicio de Windows NTFS

Además, la actualización del martes de parches de abril también soluciona la enorme cantidad de 27 fallas de RCE en el tiempo de ejecución de llamada a procedimiento remoto (RPC), una vulnerabilidad de omisión de la función de seguridad de Hyper-V (CVE-2021-28444) y múltiples fallas de escalada de privilegios en Windows Speech Runtime, Windows Servicios y aplicación de controlador, modo de kernel seguro de Windows, seguimiento de eventos de Windows y Windows Installer.

Parches de software de otros proveedores

Además de Microsoft, varios otros proveedores también lanzaron una gran cantidad de parches el martes:

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática