Ciberseguridad: Notificación vulnerabilidad Exchange

Estimados clientes,

El equipo de Ciberseguridad de Netglobalis informa que Investigadores advierten que ciberactores están escaneando Internet en busca de tres fallas de seguridad (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) de Microsoft Exchange Server y cuyo conjunto ha sido llamado ProxyShell, estas vulnerabilidades podrían explotarse de forma remota (RCE) en Servidores de Microsoft Exchange sin parches.

ProxyShell

ProxyShell es un conjunto de tres fallas de seguridad (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) que se pueden usar juntas para anular la autenticación de un atacante. A continuación, el detalle de cada una:

CVE-2021-31207 Vulnerabilidad de omisión de la función de seguridad de Microsoft Exchange Server. El error de Microsoft Exchange Server identificado por terceros se aprovecha de una vulnerabilidad de Microsoft Exchange Server preexistente para poder eludir las funciones de seguridad y autenticación. Para esta vulnerabilidad utilizan la red como principal vector de ataque y debido a la complejidad del ataque, el actor de la amenaza necesitará privilegios más altos para abusar de la vulnerabilidad. Esta falla fue parcheada en mayo por Microsoft en KB5003435  y abordada en nuestro boletín de Patch Tuesday de mayo.

CVE-2021-34523 Conduce a la escalada de privilegios del backend de Exchange PowerShell

La vulnerabilidad de elevación de privilegios fue parcheada por Microsoft en Abril en KB5001779, la cual permite a los atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Microsoft Exchange Server. Al igual que CVE-2021-31207, esta falla requiere de autenticación para aprovechar esta vulnerabilidad, sin embargo, el proceso de autenticación existente se puede omitir.

CVE-2021-34473 Error de confusión de ruta de autenticación previa que puede llevar a la omisión de ACL. Esta vulnerabilidad, ha sido clasificada por Microsoft como de «explotación más probable» y fue parcheada en conjunto a otras vulnerabilidades en abril en KB5001779. Se trata de una falla de escritura de archivo arbitrario posterior a la autenticación que permite a un atacante ejecutar código arbitrario de forma remota en la máquina sin necesidad de autenticación para poder aprovechar esta vulnerabilidad.

Productos afectados para el conjunto ProxyShell:

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

Debido a la existencia de exploits activos que hacen uso de estas vulnerabilidades se recomienda que apliquen los parches de seguridad disponibles de manera inmediata con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.