Escenario
- Su producto des seguridad ESET detecta la siguiente amenaza:
JS/Exploit.CVE-2021-26855.Webshell.A
JS/Exploit.CVE-2021-26855.Webshell.B
ASP/Webshell
ASP/ReGeorg
JS/Exploit.CVE-2021-26855.Webshell.B
ASP/Webshell
ASP/ReGeorg
- Esta amenaza afecta a usuarios de Microsoft Exchange Server que utilizan la versión 2010, 2013, 2016 y 2019
Detalles
Luego de que las vulnerabilidades sean aprovechadas inicialmente para obtener acceso, los operadores de HAFNIUM implementaron webshells sobre el servidor comprometido. Los webshells permiten a los atacantes la posibilidad de robar información y realizar acciones maliciosas adicionales que conducen a un compromiso mayor.
Para obtener mayor información consulte ESET Customer Advisory [CA7862].
Solución
Los productos ESET pueden detectar y bloquear la webshell utilizada para la ejecución remota del código.
La detección para las webshells y backdoors empleadas en esta cadena de ataques se muestra como:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
Las vulnerabilidades de ejecución remota de código de Microsoft Exchange Server son:
- CVE-2021-26855 (la más común)
- CVE-2021-26857
- CVE-2021-26858
- CVE-2021-27065
Instale el parche de seguridad de Microsoft
ESET recomienda que instale la actualización de seguridad de Microsoft lo más pronto posible.
Para asegurar el mayor nivel de seguridad, sugerimos que siempre cuente con la última versión de su producto ESET: Verificar cuál es la última versión de su producto ESET para empresas
Mantenga activado ESET Live Grid
En algunos casos, un producto ESET con la funcionalidad ESET Live Grid activada podría responder más rápidamente que las actualizaciones de los módulos.
Haga clic aquí para saber más acerca de ESET Live Grid y asegurarse de que se encuentre activado en su producto ESET.
Minimice el riesgo de un ataque de malware
¿Cómo puedo minimizar el riesgo de un ataque de malware?
- Realice una copia de respaldo de su información importante
- No cambie los ajustes predeterminados
- Descargue parches de seguridad
Publicaciones en el blog WeLiveSecurity
- Para conocer más acerca del análisis en profundidad y de los detalles para remediar la situación de un servidor comprometido, por favor lea el post de nuestro blog WeLiveSecurity: Servidores de Exchange bajo el asedio de al menos 10 grupos de APT
Para ver una lista de todos los artículos de seguridad de ESET relacionados con ataques zero-day, haga clic aquí.