Múltiples vulnerabilidades críticas RCE de Microsoft Exchange Server

ANÁLISIS

Dentro de las vulnerabilidades críticas encontramos las siguientes: 

1. CVE-2021- 26424, es una vulnerabilidad RCE en la implementación de Windows de TCP / IP. Con ella, un atacante podría, de manera remota, enviar un paquete TCP / IP especialmente diseñado para un host Hyper- V vulnerable, utilizando la pila de protocolos TCP / IP para procesar los paquetes. No obstante, y a pesar de que Microsoft ha nombrado a Hyper-V como el vector de ataque para esta vulnerabilidad, ha emitido parches para productos que no usan Hyper-V, lo cual podría causar un impacto mayor.

 Esta vulnerabilidad ha sido calificada con una puntuación CVSSv3 de criticidad alta, de 9.9 [2] [3]. 

2. CVE-2021-34535, es una vulnerabilidad RCE en el cliente de escritorio remoto. Se considera que la explotación de la misma es posible en dos escenarios. El primer escenario involucra a una víctima que realiza una conexión de escritorio remoto a un servidor controlado por un atacante, pudiendo este atacante lograr RCE una vez que la víctima hubiera realizado una conexión inicial con una versión afectada del cliente de escritorio remoto. El otro posible escenario, supone que una máquina virtual (VM) en un servidor Hyper-V podría lograr "RCE de invitado a host", después de que una víctima en el host Hyper-V se conecte a una VM maliciosa. Dado que esta vulnerabilidad se encuentra en el cliente de escritorio remoto y no es una falla del lado del servidor, es probable que este error no se pueda eliminar en un escenario de ataque. 

Aunque dicha vulnerabilidad ha recibido una calificación CVSSv3 de criticidad alta, de 8.8, se considera que tiene más posibilidades de ser explotada [2] [4]. 

3. CVE- 2021- 31206, es una vulnerabilidad que permite a los atacantes adyacentes a la red, ejecutar código arbitrario en las instalaciones afectadas de Microsoft Exchange Server. Para ello, se requiere la interacción del usuario para aprovechar esta vulnerabilidad. De igual modo, la falla específica existe dentro del análisis de archivos CAB. Al manejar nombres de archivo especificados dentro de un archivo CAB, el proceso no valida correctamente una ruta proporcionada por el usuario antes de usarla en operaciones de archivo. Por lo que un atacante podría aprovechar esto, junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto de SYSTEM [5]. 

Dicha vulnerabilidad fue inicialmente puntuada con CVSSv3 de 7.1, pero actualmente se ha evaluado con una puntuación CVSSv3 de criticidad alta 9.8 [6]. 

RECOMENDACIONES 

Para remediar estas vulnerabilidades, se recomienda aplicar las actualizaciones publicadas por Microsoft [3] [4]] [5] [7]. 

REFERENCIAS

[1] https://unaaldia.hispasec.com/2021/08/microsoft-publica-el-parche-de-seguridad-de-agosto.html
[2] https://es-la.tenable.com/blog/microsoft-s-august-2021-patch-tuesday-addresses-44-cves-cve-2021-26424-cve-2021-36948?tns_redirect=true
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26424
[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34535
[5] https://www.zerodayinitiative.com/advisories/ZDI-21-826/
[6] https://nvd.nist.gov/vuln/detail/CVE-2021-31206#vulnCurrentDescriptionTitle
[7] https://msrc.microsoft.com/update-guide/releaseNote/2021-Aug