Nueva vulnerabilidad RCE en Microsoft Exchange (Proxyshell)

ANÁLISIS

Esta vulnerabilidad permite la ejecución de código remoto en el contexto de usuario "System" (Administrador). El fallo se encuentra en la exportación de buzones, una incorrecta verificación de los datos de usuario permite cargar archivos arbitrarios. [2]

Gracias a la vulnerabilidad CVE-2021-34473 podemos obtener una dirección de correo electrónico como Admin. Una vez conseguido, se puede enviar un payload para obtener acceso a Powershell, el cual se podrá utilizar gracias al CVE-2021-34523

Esta vulnerabilidad tiene una puntuación CVSS 3.0 de 7.2, por lo que se debe tener en cuenta como una vulnerabilidad Alta. No obstante, si se utiliza junto a CVE-2021-34473 y  CVE-2021-34523 nos encontramos con una vulnerabilidad crítica.

Los productos afectados son:

• Microsoft Exchange Server 2019 Cumulative Update 8
• Microsoft Exchange Server 2019 Cumulative Update 9
• Microsoft Exchange Server 2016 Cumulative Update 19
• Microsoft Exchange Server 2016 Cumulative Update 20
• Microsoft Exchange Server 2013 Cumulative Update 23

En la página de socinvestigation.com [1] hay una prueba de concepto de la explotación de la vulnerabilidad.

RECOMENDACIONES

En Mayo de 2021 Microsoft publicó una actualización para Microsoft Exchange 2013,2016 y 2019 que resolvía, entre otras, esta vulnerabilidad. La actualización es la KB5003435 y puede obtenerse en el centro de descargas de Microsoft. [3]

REFERENCIAS
[1] https://www.socinvestigation.com/proxyshell-vulnerability-large-exploitation-of-microsoft-exchange-servers/
[4] https://www.zerodayinitiative.com/advisories/ZDI-21-819/
[3]https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-may-11-2021-kb5003435-028bd051-b2f1-4310-8f35-c41c9ce5a2f1