Saltar al contenido

Protegerse de las vulnerabilidades ProxyLogon en Microsoft Exchange

Protegerse de las vulnerabilidades ProxyLogon en Microsoft Exchange

Es la comidilla de los últimos días, desde que el día 2 de Marzo Microsoft publicase un parche de emergencia (out of band) para atajar 4 vulnerabilidades críticas que afectan, de hecho, a todas las versiones conocidas de Microsoft Exchange. Están, además, siendo abusadas masivamente por estados y otros actores.

Estamos hablando de las vulnerabilidades CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065. En el siguiente post de Microsoft lo explican en detalle.

¡Antes de seguir! La infraestructura en la nube de Microsoft que alberga Office 365 y Exchange 365 NO está afectada, solo las partes on premises o entornos híbridos.

Vulnerabilidades corregidas en Microsoft Exchange

Esencialmente, si los atacantes pudieran alcanzar tus servidores de Microsoft Exchange, podrían ejecutar múltiples exploits, tomar el control de los servidores y utilizarlos para desplazarse lateralmente por la infraestructura.

Es un total de 4 exploits, activamente utilizados para ataques a día de hoy. Además de los 4 ya mencionados al comienzo, Microsoft ha identificado otros 3 que todavía no han sido usados en ciberataques. La lista quedaría así.

IDDESCRIPCIONEXPLOTADO
CVE-2021-26855Ejecución remota de código con SSRF (Server Side Request Forgery)
CVE-2021-26857Ejecución remota de código (deserialización insegura en Unified Messaging Service)
CVE-2021-26858Ejecución remota de código (vulnerabilidad que otorga acceso de escritura)
CVE-2021-27065Ejecución remota de código (vulnerabilidad que otorga acceso de escritura)
CVE-2021-26412Ejecución remota de códigoNo
CVE-2021-26854Ejecución remota de códigoNo
CVE-2021-27078Ejecución remota de códigoNo

CVE-2021-26855 aka ProxyLogon

Pero si hay un “padre” de todo el proceso, podríamos decir que es ProxyLogon, cuya vulnerabilidad normalmente precede al resto.

Proxylogon es el nombre genérico para la vulnerabilidad CVE-2021-26855, una vulnerabilidad en Microsoft Exchange Server que permite a un atacante saltare la autenticación e impersonarse como el administrador. Hemos encadenado, además, este fallo con otra vulnerabilidad de escritura de archivos arbitraria, post-autenticación, CVE-2021-27065, para obtener ejecución de código. ¡Todos los componentes son vulnerables por defecto!

ProxyLogon.com

Es decir, un ataque sin requerir autenticación y que podría poner cosas como webshell en nuestro servidor de forma rápida. Bastaría con utilizar el puerto de escucha HTTPS (TCP 443) y que este estuviera abierto, como ocurre obviamente por defecto.

Al menos 10 actores maliciosos, entre los que se intuyen algún que otro estado (China/Hafnium), están ya utilizando estos exploits para atacar diferentes empresas. ProxyLogon comenzó a utilizarse como ataque a principios de año, pero no ha sido fácil para Microsoft ponerse de acuerdo con las partes afectadas, sin dar una respuesta prematura que no cerrase el problema de forma definitiva.

Los ataques masivos comenzaron a producirse unos días después de que Microsoft publicase los parches

Entre las cosas que podría hacer un atacante en estos equipos, tenemos:

  1. Obtener control completo
  2. Copiar todos los emails
  3. Realizar un volcado de memoria
  4. Instalar webshells
  5. Ejecutar shell inversa
  6. Ejecutar otros exploits
  7. Acceder y explotar otros equipos, lateralmente

Protegerte de las vulnerabilidades

Parches, parches!

Si no has iniciado el proceso de actualización de tus sistemas, es momento de ponerte manos a la obra.

Parches para versiones no soportadas

Microsoft ha lanzado actualizaciones de seguridad incluso para productos que ya no soporta, como Microsoft Exchange 2010. Revisa este enlace si es tu caso.

Utiliza MSERT para detectar la amenaza

Microsoft ha actualizado su herramienta Microsoft Safety Scanner, de modo que sea capaz de detectar y eliminar las webshell anteriormente detectadas. Descarga MSERT.

Fíjate en los IOCs

Archivos

Busca archivos de tipo no estándar, sobre todo los ASPX:

  • errorEEE.aspx
  • errorEW.aspx
  • errorFF.aspx

Busca archivos de más de 1KB y ubicados en el directorio de Correo de voz de Exchange (es variable según la instalación) y mira si existe contenido no estándar.

Busca archivos sospechosos en la ruta C:\ProgramData\, como los .zip, .rar y .7z.

En los logs de Exchange

Busca lo siguiente:

  • Entradas referentes a HttpProxy
  • Aquellas ubicadas en el directorio %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
  • Entradas de log donde el valor AuthenticatedUser esté en blanco y el valor AnchorMailbox contiene el patrón Serverinfo~*/*

En los logs de Windows

Busca en la parte Windows Application:

  • Origen: MSExchange Unified Messaging
  • EntryType: Error
  • Contenido del mensaje de evento: System.InvalidCastException

En caso de tener coincidencias, has sido hackeado 😦

Por último, en entornos híbridos…

  • Asegúrate de crear una regla en el firewall, entre tu entorno on premises y la red de Azure

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A <span>%d</span> blogueros les gusta esto: