Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

[Actualización 13/04/2021] Actualización fuera de ciclo de Microsoft Exchange Server

Fecha de publicación 03/03/2021
Importancia
5 - Crítica
Recursos Afectados
  • Microsoft Exchange Server 2013,
  • Microsoft Exchange Server 2016,
  • Microsoft Exchange Server 2019.
Descripción

Microsoft ha publicado actualizaciones de seguridad fuera del ciclo mensual habitual, para solucionar varias vulnerabilidades que afectan a Microsoft Exchange Server. Un atacante remoto podría aprovechar varias de estas vulnerabilidades de ejecución remota de código para tomar el control de un sistema afectado, o aprovechar otra de las vulnerabilidades para obtener acceso a información confidencial.

La empresa ha confirmado que estas vulnerabilidades se están explotando de forma activa actualmente.

Solución

Microsoft ha publicado las siguientes actualizaciones de seguridad:

Además, recomienda instalar estas actualizaciones de manera inmediata.

Igualmente, ha compartido los indicadores de compromiso (IOC) para poder verificar si sus sistemas se han visto afectados por este ataque.

[Actualización 08/03/2021]: Microsoft ha publicado una serie de medidas de mitigación para aquellos que no puedan instalar las actualizaciones de manera inmediata. Para consultar el detalle de estas medidas puede consultar el siguiente enlace. Asimismo, el CISA también ha publicado su propio aviso.

[Actualización 17/03/2021]: Microsoft ha publicado una herramienta "one-click mitigation tool", que también cuenta con la ultima versión del Microsoft Safety Scanner, y que permite mitigar automáticamente la vulnerabilidad CVE-2021-26855 en cualquier Exchange server de la forma más rápida y fácil posible, antes de aplicar la actualización. Microsoft recomienda descargar y ejecutar esta herramienta a todos aquellos que aun no hayan aplicado la actualización de seguridad correspondiente.

[Actualización 13/04/2021]: el CISA ha añadido 2 nuevos Malware Analysis Reports (MARs) a la alerta AA21-062A:

Detalle

Microsoft ha informado de la existencia de varias vulnerabilidades, que en su conjunto podrían comprometer un equipo con Microsoft Exchange Server. Los identificadores de estas vulnerabilidades son: CVE-2021-26857, CVE-2021-26858, CVE-2021-27065, y CVE-2021-26855.

El vector inicial del ataque se establece a través de una conexión no confiable con el puerto 443 del servidor Exchange, pero el bloqueo de estas conexiones solo protege de una parte inicial del ataque. No obstante, otros vectores pueden activarse si un atacante ya tiene acceso.

Microsoft ha confirmado que estas vulnerabilidades se están explotando de forma activa actualmente por un grupo identificado como HAFNIUM.

[Actualización 15/03/2021] CISA ha publicado 7 reportes de análisis de malware (MARs) a su alerta AA21-062A. Cada MAR identifica un webshell asociado a la explotación de las vulnerabilidades en los productos de Microsoft Exchange Server.

[Actualización 26/03/2021] CISA ha publicado 2 nuevos reportes de análisis de malware (MARs) a su alerta AA21-062A, identificando un total de 9 webshells asociados a la explotación de las vulnerabilidades.

Encuesta valoración