La empresa Microsoft ha publicado recientemente vulnerabilidades críticas de día 0 en Microsoft Exchange Server, varias de las cuales están siendo actualmente explotadas por diferentes actores de amenazas como Hafnium, LuckyMouse, Calypso, Tick, Websiic, Winnti Group, entre otros. Estas permiten la ejecución remota de código y tienen un impacto alto en la confidencialidad, integridad y disponibilidad del servidor. Los sistemas afectados son: Microsoft Exchange Server 2010 (RU 31 Service Pack 3), Microsoft Exchange 2013 (CU 23), Microsoft Exchange 2016 (CU 19, CU 18) y Microsoft Exchange 2019 (CU 8, CU 7).

Las vulnerabilidades se describen a continuación:

• CVE-2021-26855: La vulnerabilidad explota el Panel de Control de Exchange (ECP) a través de una Server-Side Request Forgery (SSRF), que permite al atacante enviar una petición HTTP arbitraria especialmente formada y autenticarse en el servidor.
• CVE-2021-26857: Vulnerabilidad de deserialización insegura en el servicio de mensaje unificado (Unified Messaging) que permite que datos no confiables y controlados por el usuario son deserializados por el servidor tal que permita la ejecución de código. En el caso de que el servicio se esté ejecutando con privilegios de SYSTEM, el código se ejecutará con permisos de administración.
• CVE-2021-27065 y CVE-2021-26858: Son vulnerabilidades de escritura arbitraria de archivos, posterior a la autenticación. Pueden ser explotadas de manera aislada luego de comprometer credenciales legítimas o en combinación con CVE-2021-26855, sin necesidad de credenciales. Ambas pueden derivar en la ejecución remota arbitraria de código.

Entre los ataques analizados por los investigadores se evidenció que la explotación combinada de estas vulnerabilidades puede derivar en el control total del servidor Exchange por parte de un atacante remoto no autenticado. Microsoft también ha observado actividades posteriores de implantación de webshell, ejecución de código y exfiltración de datos durante los ataques. Además es posible que un atacante, una vez autenticado en el servidor de Exchange, obtenga acceso al Directorio Activo (DA) y descargue la base de datos del DA. 

Microsoft ha publicado actualizaciones de emergencia que corrigen estas vulnerabilidades. Para aplicar los parches de seguridad es necesario que las actualizaciones acumulativas ya estén previamente instaladas. La aplicación de las actualizaciones de seguridad es fundamental para prevenir la reinfección, pero no desalojará a un adversario que ya haya comprometido previamente el servidor.

Recomendaciones:

• De tener implementado en su infraestructura un servidor Microsoft Exchange instalar las actualizaciones inmediatamente.
• Identificar indicadores de compromiso en el servidor utilizando NMAP y el script disponible en: https://github.com/microsoft/CSS-Exchange/tree/main/Security
• En caso de detectar que su servidor Microsoft Exchange  fue comprometido, debe reportarlo al CSIRT-BCF mediante la cuenta incidente@biocubafarma.cu y realizar las acciones de remediación correspondientes (ver las últimas dos referencias).

Referencias:

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
• https://www.welivesecurity.com/la-es/2021/03/10/servidores-exchange-bajo-asedio-grupos-apt/
• https://msrc-blog.microsoft.com/2021/03/16/guidance-for-responders-investigating-and-remediating-on-premises-exchange-server-vulnerabilities/
• https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
• https://www.ccn-cert.cni.es/informes/abstracts/5753-zero-day-exchange-server-hafnium/file.html
• https://us-cert.cisa.gov/ncas/alerts/aa21-062a
• https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/