Fecha de publicación: Jue, 04/03/2021 - 09:01

 

El Centro de Gestión de Incidentes Informáticos comunica que Microsoft ha publicado actualizaciones de seguridad para vulnerabilidades de tipo zero-day en Exchange Server.

Descripción

Microsoft ha publicado actualizaciones de seguridad fuera del ciclo mensual habitual, para solucionar varias vulnerabilidades que afectan a Microsoft Exchange Server. Un atacante remoto podría aprovechar varias de estas vulnerabilidades de ejecución remota de código para tomar el control de un sistema afectado, o aprovechar otra de las vulnerabilidades para obtener acceso a información confidencial.

Los identificadores de estas vulnerabilidades son:

El vector inicial del ataque se establece a través de una conexión no confiable con el puerto 443 del servidor Exchange, pero el bloqueo de estas conexiones solo protege de una parte inicial del ataque. No obstante, otros vectores pueden activarse si un atacante ya tiene acceso.

Microsoft ha confirmado que estas vulnerabilidades se están explotando de forma activa actualmente por un grupo identificado como HAFNIUM.

Versiones afectadas

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Solución

Microsoft ha publicado las siguientes actualizaciones de seguridad:

Indicadores de compromiso

Microsoft ha compartido indicadores de compromiso para verificar si sus sistemas se han visto afectado por el ataque.

Archivos:

  • web.aspx
  • help.aspx
  • document.aspx
  • errorEE.aspx
  • errorEEE.aspx
  • errorEW.aspx
  • errorFF.aspx
  • healthcheck.aspx
  • aspnet_www.aspx
  • aspnet_client.aspx
  • xx.aspx
  • shell.aspx
  • aspnet_iisstart.aspx
  • one.aspx

Hashes:

  • b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
  • 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
  • 2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
  • 65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
  • 511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
  • 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
  • 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
  • 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944

Rutas dónde han identificado dichos archivos:

  • C:\inetpub\wwwroot\aspnet_client\
  • C:\inetpub\wwwroot\aspnet_client\system_web\
  • En rutas de instalación de MS Exchange Server installation paths tales como:
    • %PROGRAMFILES%\Microsoft\Exchange
    • Server\V15\FrontEnd\HttpProxy\owa\auth\
    • C:\Exchange\FrontEnd\HttpProxy\owa\auth\

Recomendaciones

Se recomienda encarecidamente aplicar los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Con el objetivo de identificar posibles ataques o explotaciones empleando las vulnerabilidades publicadas, se recomienda llevar a cabo ciertas revisiones como la comprobación de la existencia de los ficheros anteriormente citados o bien a través de la verificación de Hashes.

El equipo de Microsoft también ha publicado una serie de pautas para revisar los archivos de registros de Exchange en busca de indicadores de compromiso.

CVE-2021-26855: la explotación de esta vulnerabilidad se puede detectar a través de los registros de Exchange HttpProxy que se encuentran en el directorio %PROGRAMFILES%\Microsoft\ExchangeServer\V15\Logging. La explotación se puede identificar buscando entradas de registro donde AuthenticatedUser está vacío y AnchorMailbox contiene el patrón de ServerInfo ~ * / *. 

Si se detecta actividad, los registros específicos que se encuentran en el directorio %PROGRAMFILES%\Microsoft\ExchangeServer\V15\Logging se pueden utilizar para ayudar a determinar qué acciones se llevaron a cabo.

CVE-2021-26858:  la explotación de esta vulnerabilidad se puede detectar a través de los registros que se encuentran en el directorio C:\Archivos de programa\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog. En caso de explotación, los archivos se descargan a otros directorios o rutas locales. El comando de Windows para buscar una posible explotación es el siguiente: Findstr / snip / c: "Error de descarga y archivo temporal" "% PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ Logging \ OABGeneratorLog \ *. log".

CVE-2021-26857: la explotación de esta vulnerabilidad se puede detectar a través de los registros de eventos de la aplicación de Windows. La explotación de este error de deserialización creará eventos de aplicación con las siguientes propiedades:

  • EntryType: Error.
  • Fuente: Mensajería unificada de MSExchange.
  • El mensaje de evento contiene: System.InvalidCastException.

El comando de PowerShell para consultar el registro de eventos de la aplicación para estas entradas de registro es el siguiente:
Get-EventLog -LogName Aplicación -Fuente “Mensajería unificada de MSExchange” -Error de tipo de entrada | Where-Object {$ _. Mensaje -como “* System.InvalidCastException *”}

CVE-2021-27065: la explotación de esta vulnerabilidad se puede detectar a través del archivo C: \ Archivos de programa \ Microsoft \ Exchange Server \ V15 \ Logging \ ECP \ Server. Todas las propiedades de Set- VirtualDirectory nunca deben contener un script. InternalUrl y ExternalUrl solo deben ser Uris válidos. A continuación, se muestra un comando de PowerShell para buscar una posible explotación: Select-String -Path “$ env: PROGRAMFILES \ Microsoft \ Exchange Server \ V15 \ Logging \ ECP \ Server \ *. Log” -Pattern 'Set -. + VirtualDirectory' 

 

Referencias

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

https://www.bleepingcomputer.com/news/security/microsoft-fixes-actively-exploited-exchange-zero-day…