Los piratas informáticos buscan activamente servidores de Microsoft Exchange sin parches

Servidores de Microsoft Exchange

Los actores de amenazas están llevando a cabo activamente acciones oportunistas. exploración y operación de servidores Exchange que utilizan una nueva cadena de explotación que aprovecha un trío de fallas que afectan a las instalaciones locales, lo que las convierte en el último conjunto de errores después de que las vulnerabilidades de ProxyLogon fueran explotadas en masa a principios de año.

Las fallas de ejecución remota de código se han denominado colectivamente «ProxyShell». Al menos 30.000 máquinas se ven afectadas por las vulnerabilidades, según un análisis de Shodan realizado por Jan Kopriva de SANS Internet Storm Center.

«Comenzamos a ver en la naturaleza intentos de explotación contra nuestra infraestructura de trampas para las vulnerabilidades de Exchange ProxyShell», Richard Warren de NCC Group. tuiteó, señalando que una de las intrusiones resultó en la implementación de un «webshell C # aspx en el directorio / aspnet_client /».

Parchado a principios de marzo de 2021, ProxyLogon es el nombre de CVE-2021-26855, una vulnerabilidad de falsificación de solicitud del lado del servidor en Exchange Server que permite a un atacante tomar el control de un servidor vulnerable como administrador, y que se puede encadenar con otra publicación. -vulnerabilidad de escritura de archivo arbitrario de autenticación, CVE-2021-27065, para lograr la ejecución del código.

Las vulnerabilidades salieron a la luz después de que Microsoft revelara información sobre una operación de piratería patrocinada por Beijing que aprovechó las debilidades para atacar entidades en los EE. UU. con el fin de filtrar información en lo que la compañía describió como ataques limitados y dirigidos.

Desde entonces, el fabricante de Windows ha solucionado seis fallas más en su componente de servidor de correo, dos de las cuales se llaman ProxyOracle, que permite a un adversario recuperar la contraseña del usuario en formato de texto sin formato.

Se podría abusar de otros tres problemas, conocidos como ProxyShell, para eludir los controles de ACL, elevar los privilegios en el backend de Exchange PowerShell, autenticar efectivamente al atacante y permitir la ejecución remota de código. Microsoft señaló que tanto CVE-2021-34473 como CVE-2021-34523 se omitieron inadvertidamente de la publicación hasta julio.

ProxyLogon:

  • CVE-2021-26855 – Vulnerabilidad de ejecución remota de código de Microsoft Exchange Server (parcheada el 2 de marzo)
  • CVE-2021-26857 – Vulnerabilidad de ejecución remota de código de Microsoft Exchange Server (parcheada el 2 de marzo)
  • CVE-2021-26858 – Vulnerabilidad de ejecución remota de código de Microsoft Exchange Server (parcheada el 2 de marzo)
  • CVE-2021-27065 – Vulnerabilidad de ejecución remota de código de Microsoft Exchange Server (parcheada el 2 de marzo)

ProxyOracle:

  • CVE-2021-31195 – Vulnerabilidad de ejecución remota de código de Microsoft Exchange Server (parcheada el 11 de mayo)
  • CVE-2021-31196 – Vulnerabilidad de ejecución remota de código de Microsoft Exchange Server (parcheada el 13 de julio)

ProxyShell:

  • CVE-2021-31207 – Vulnerabilidad de omisión de la característica de seguridad de Microsoft Exchange Server (parcheada el 11 de mayo)
  • CVE-2021-34473 – Vulnerabilidad de ejecución remota de código de Microsoft Exchange Server (parcheada el 13 de abril, aviso publicado el 13 de julio)
  • CVE-2021-34523 – Vulnerabilidad de elevación de privilegios de Microsoft Exchange Server (parcheada el 13 de abril, aviso publicado el 13 de julio)

Otro:

  • CVE-2021-33768 – Vulnerabilidad de elevación de privilegios de Microsoft Exchange Server (parcheada el 13 de julio)

Originalmente demostrado en la competencia de piratería Pwn2Own en abril, los detalles técnicos de la cadena de ataque ProxyShell fueron revelados por el investigador de DEVCORE Orange Tsai en las conferencias de seguridad Black Hat USA 2021 y DEF CON la semana pasada. Para evitar intentos de explotación, se recomienda encarecidamente a las organizaciones que instalen las actualizaciones publicadas por Microsoft.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática