ESET Customer Advisory 2021-0004
11 de marzo de 2021
Importancia: crítica
Resumen
El 2 de marzo de 2021, Microsoft publicó información acerca de vulnerabilidades en su Exchange Server 2013, 2016 y 2019 que permiten a un atacante remoto tomar control de cualquier servidor Exchange que pueda ser alcanzado a través de internet, sin necesidad de conocer las credenciales de acceso. Al mismo tiempo, Microsoft también lanzó parches para tales vulnerabilidades, las cuales desde ESET recomendamos instalar tan pronto como sea posible.
Detalles
La naturaleza de las vulnerabilidades permiten la instalación de un webshell hacia el servidor, el cual puede oficiar como un punto de ingreso para la instalación malware. Los productos ESET detectan los siguientes webshells y backdoors utilizados en el proceso de explotación:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
Dado el alto nivel de vulnerabilidad y el hecho de que múltiples atacantes se encuentran explorando activamente internet para localizar servidores bajo riesgo, es posible que la mayoría de los servidores abiertos a internet hayan sido compometidos. Con el objetivo de evitar mayores problemas, es necesario instalar todas las actualizaciones disponibles provistas por Microsoft lo antes posible.
De todas maneras, aplicar los parches no limpiará los servidores ya comprometidos. Por ello, es necesario realizar una investigación para identificar posibles remanentes y trazas de malware en el entorno, así como también modificar las credenciales de acceso.
Para conocer más acerca del análisis en profundidad y de los detalles para remediar la situación de un servidor comprometido, por favor lea el post de nuestro blog WeLiveSecurity: Servidores de Exchange bajo el asedio de al menos 10 grupos de APT
Nota: una de las vulnerabilidades también afecta a Exchange Server 2010. No es el primer paso en la cadena de ataques, pero fue lanzado un parche con fines de preventivos y defensivos. Se sugiere investigar una potencial vulneración de todas maneras.
Comentarios y soporte
Si desea comentar o consultar acerca de este suceso, por favor contáctenos a través de nuestro Foro de seguridad de ESET Security, o a través de nuestras vías de contacto local.
Recursos
-
Servidores de Exchange bajo el asedio de al menos 10 grupos de APT — post del blog de ESET WeLiveSecurity blog
-
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 — detalles de la vulnerabilidad en Microsoft Security Response Center
- HAFNIUM targeting Exchange Servers with 0-day exploits — post del blog Microsoft Security
- Multiple Security Updates Released for Exchange Server — post del blog Microsoft Security Response Center
- Microsoft Exchange Server Vulnerabilities Mitigations — post del blog Microsoft Security Response Center
- March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server — post del blog de Exchange Team en Microsoft Tech Community