El Centro de Gestión de Incidentes Informáticos comunica que Microsoft ha publicado actualizaciones de seguridad para vulnerabilidades de tipo zero-day en Exchange Server.
Descripción
Microsoft ha publicado actualizaciones de seguridad fuera del ciclo mensual habitual, para solucionar varias vulnerabilidades que afectan a Microsoft Exchange Server. Un atacante remoto podría aprovechar varias de estas vulnerabilidades de ejecución remota de código para tomar el control de un sistema afectado, o aprovechar otra de las vulnerabilidades para obtener acceso a información confidencial.
Los identificadores de estas vulnerabilidades son:
El vector inicial del ataque se establece a través de una conexión no confiable con el puerto 443 del servidor Exchange, pero el bloqueo de estas conexiones solo protege de una parte inicial del ataque. No obstante, otros vectores pueden activarse si un atacante ya tiene acceso.
Microsoft ha confirmado que estas vulnerabilidades se están explotando de forma activa actualmente por un grupo identificado como HAFNIUM.
Versiones afectadas
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
Solución
Microsoft ha publicado las siguientes actualizaciones de seguridad:
- Exchange Server 2010 (RU 31 para Service Pack 3: esta actualización es con fines de defensa en profundidad)
- Exchange Server 2013 (CU 23)
- Exchange Server 2016 (CU 19, CU 18)
- Exchange Server 2019 (CU 8, CU 7)
Indicadores de compromiso
Microsoft ha compartido indicadores de compromiso para verificar si sus sistemas se han visto afectado por el ataque.
Archivos:
- web.aspx
- help.aspx
- document.aspx
- errorEE.aspx
- errorEEE.aspx
- errorEW.aspx
- errorFF.aspx
- healthcheck.aspx
- aspnet_www.aspx
- aspnet_client.aspx
- xx.aspx
- shell.aspx
- aspnet_iisstart.aspx
- one.aspx
Hashes:
- b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
- 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
- 2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
- 65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
- 511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
- 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
- 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
- 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944
Rutas dónde han identificado dichos archivos:
- C:\inetpub\wwwroot\aspnet_client\
- C:\inetpub\wwwroot\aspnet_client\system_web\
- En rutas de instalación de MS Exchange Server installation paths tales como:
- %PROGRAMFILES%\Microsoft\Exchange
- Server\V15\FrontEnd\HttpProxy\owa\auth\
- C:\Exchange\FrontEnd\HttpProxy\owa\auth\
Recomendaciones
Se recomienda encarecidamente aplicar los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Con el objetivo de identificar posibles ataques o explotaciones empleando las vulnerabilidades publicadas, se recomienda llevar a cabo ciertas revisiones como la comprobación de la existencia de los ficheros anteriormente citados o bien a través de la verificación de Hashes.
El equipo de Microsoft también ha publicado una serie de pautas para revisar los archivos de registros de Exchange en busca de indicadores de compromiso.
CVE-2021-26855: la explotación de esta vulnerabilidad se puede detectar a través de los registros de Exchange HttpProxy que se encuentran en el directorio %PROGRAMFILES%\Microsoft\ExchangeServer\V15\Logging. La explotación se puede identificar buscando entradas de registro donde AuthenticatedUser está vacío y AnchorMailbox contiene el patrón de ServerInfo ~ * / *.
Si se detecta actividad, los registros específicos que se encuentran en el directorio %PROGRAMFILES%\Microsoft\ExchangeServer\V15\Logging se pueden utilizar para ayudar a determinar qué acciones se llevaron a cabo.
CVE-2021-26858: la explotación de esta vulnerabilidad se puede detectar a través de los registros que se encuentran en el directorio C:\Archivos de programa\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog. En caso de explotación, los archivos se descargan a otros directorios o rutas locales. El comando de Windows para buscar una posible explotación es el siguiente: Findstr / snip / c: "Error de descarga y archivo temporal" "% PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ Logging \ OABGeneratorLog \ *. log".
CVE-2021-26857: la explotación de esta vulnerabilidad se puede detectar a través de los registros de eventos de la aplicación de Windows. La explotación de este error de deserialización creará eventos de aplicación con las siguientes propiedades:
- EntryType: Error.
- Fuente: Mensajería unificada de MSExchange.
- El mensaje de evento contiene: System.InvalidCastException.
El comando de PowerShell para consultar el registro de eventos de la aplicación para estas entradas de registro es el siguiente:
Get-EventLog -LogName Aplicación -Fuente “Mensajería unificada de MSExchange” -Error de tipo de entrada | Where-Object {$ _. Mensaje -como “* System.InvalidCastException *”}
CVE-2021-27065: la explotación de esta vulnerabilidad se puede detectar a través del archivo C: \ Archivos de programa \ Microsoft \ Exchange Server \ V15 \ Logging \ ECP \ Server. Todas las propiedades de Set- VirtualDirectory nunca deben contener un script. InternalUrl y ExternalUrl solo deben ser Uris válidos. A continuación, se muestra un comando de PowerShell para buscar una posible explotación: Select-String -Path “$ env: PROGRAMFILES \ Microsoft \ Exchange Server \ V15 \ Logging \ ECP \ Server \ *. Log” -Pattern 'Set -. + VirtualDirectory'
Referencias
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
https://www.bleepingcomputer.com/news/security/microsoft-fixes-actively-exploited-exchange-zero-day…