[CA7862] Vulnerabilidades de Microsoft Exchange descubiertas y explotadas in-the-wild

ESET Customer Advisory 2021-0004
11 de marzo de 2021
Importancia: crítica

Resumen

El 2 de marzo de 2021, Microsoft publicó información acerca de vulnerabilidades en su Exchange Server 2013, 2016 y 2019 que permiten a un atacante remoto tomar control de cualquier servidor Exchange que pueda ser alcanzado a través de internet, sin necesidad de conocer las credenciales de acceso. Al mismo tiempo, Microsoft también lanzó parches para tales vulnerabilidades, las cuales desde ESET recomendamos instalar tan pronto como sea posible.

Detalles

Las vulnerabilidades fueron reportadas inicialmente por Microsoft el 5 de enero de 2021. Sin embargo, de acuerdo a los reportes, ya desde  el 3 de enero de 2021 se habían comenzado a aprovechar in-the-wild. ESET ha detectado más de 5000 servidores alrededor del mundo que ya se encontraban comprometidos por varios atacantes, predominantemente de parte de grupos APT (amenaza avanzada persistente).

La naturaleza de las vulnerabilidades permiten la instalación de un webshell hacia el servidor, el cual puede oficiar como un punto de ingreso para la instalación malware. Los productos ESET detectan los siguientes webshells y backdoors utilizados en el proceso de explotación:
  • JS/Exploit.CVE-2021-26855.Webshell.A
  • JS/Exploit.CVE-2021-26855.Webshell.B
  • ASP/Webshell
  • ASP/ReGeorg

Dado el alto nivel de vulnerabilidad y el hecho de que múltiples atacantes se encuentran explorando activamente internet para localizar servidores bajo riesgo, es posible que la mayoría de los servidores abiertos a internet hayan sido compometidos. Con el objetivo de evitar mayores problemas, es necesario instalar todas las actualizaciones disponibles provistas por Microsoft lo antes posible.

De todas maneras, aplicar los parches no limpiará los servidores ya comprometidos. Por ello, es necesario realizar una investigación para identificar posibles remanentes y trazas de malware en el entorno, así como también modificar las credenciales de acceso. 


Para conocer más acerca del análisis en profundidad y de los detalles para remediar la situación de un servidor comprometido, por favor lea el post de nuestro blog WeLiveSecurity: Servidores de Exchange bajo el asedio de al menos 10 grupos de APT


Nota: una de las vulnerabilidades también afecta a Exchange Server 2010. No es el primer paso en la cadena de ataques, pero fue lanzado un parche con fines de preventivos y defensivos. Se sugiere investigar una potencial vulneración de todas maneras.

Comentarios y soporte

Si desea comentar o consultar acerca de este suceso, por favor contáctenos a través de nuestro Foro de seguridad de ESET Security, o a través de nuestras vías de contacto local.

Recursos