Varias vulnerabilidades 0-day para Microsoft Exchange

ANÁLISIS

La actualización de seguridad corrige las vulnerabilidades designadas como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, y CVE-2021-27065. [3][4][5][6] Esta actualización ha sido publicada fuera del ciclo habitual de actualizaciones de Microsoft debido a la detección de exploits siendo usados el ataques dirigidos. [1][8]

Las vulnerabilidades afectan a los servidores Microsoft Exchange Server (on-premise), pero no afectan a los servicios de Exchange Online. [1][2][7]

La explotación de estas vulnerabilidades son parte de una cadena de ataques, en la que el ataque inicial requiere establecer una conexión "desconfiable" con el servidor de Exchange en el puerto 443.

Las versiones afectadas son las siguientes:

• Microsoft Exchange Server 2013  
• Microsoft Exchange Server 2016  
• Microsoft Exchange Server 2019 

Esta vulnerabilidad permitiría a un atacante extraer todo el contenido de los buzones de correo electrónico de los usuarios sin ningún tipo de autenticación, con tan sólo conocer el equipo el equipo que ejecuta el servicio de Exchange.

RECOMENDACIONES 

Para mitigar la primera acción de la cadena de ataques, se recomienda restringir las conexiones desconfiables con el servidor, o configurar una VPN para separar el servidor de Exchange del acceso externo.

Se recomienda instalar inmediatamente las actualizaciones de Microsoft en los servidores de Exchange con versiones afectadas, priorizando aquellos servidores de Exchange expuestos a internet.

Se recomienda comprobar los indicadores de compromiso, apoyándose en la aplicación de las reglas de detección publicadas por el equipo de Volexity y Nextron Systems. [8][9]

INDICADORES DE COMPROMISO (IOC) 

Direcciones IP:

165.232.154.116
104.248.49.97
103.77.192.219
104.140.114.110
104.250.191.110
108.61.246.56
149.28.14.163
157.230.221.198
167.99.168.251
185.250.151.72
192.81.208.169
203.160.69.66
211.56.98.146
5.254.43.18
5.2.69.14
80.92.205.81
91.192.103.43

Peticiones HTTP:

POST /owa/auth/Current/
POST /ecp/default.flt
POST /ecp/main.css
POST /ecp/<single char>.js

Posibles User-Agent:

DuckDuckBot/1.0;+(+http://duckduckgo.com/duckduckbot.html)
facebookexternalhit/1.1+(+http://www.facebook.com/externalhit_uatext.php)
Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)
Mozilla/5.0+(compatible;+Bingbot/2.0;++http://www.bing.com/bingbot.htm)
Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html
Mozilla/5.0+(compatible;+Konqueror/3.5;+Linux)+KHTML/3.5.5+(like+Gecko)+(Exabot-Thumbnails)
Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)
Mozilla/5.0+(compatible;+YandexBot/3.0;++http://yandex.com/bots)
Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/51.0.2704.103+Safari/537.36
antSword/v2.1
Googlebot/2.1+(+http://www.googlebot.com/bot.html)
Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)

REFERENCIAS

[1] https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
[2] https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
[5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
[6] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
[7] https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
[8] https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
[9] https://twitter.com/cyb3rops/status/1367045727017394177