[Actualización 13/04/2021] Actualización fuera de ciclo de Microsoft Exchange Server
- Microsoft Exchange Server 2013,
- Microsoft Exchange Server 2016,
- Microsoft Exchange Server 2019.
Microsoft ha publicado actualizaciones de seguridad fuera del ciclo mensual habitual, para solucionar varias vulnerabilidades que afectan a Microsoft Exchange Server. Un atacante remoto podría aprovechar varias de estas vulnerabilidades de ejecución remota de código para tomar el control de un sistema afectado, o aprovechar otra de las vulnerabilidades para obtener acceso a información confidencial.
La empresa ha confirmado que estas vulnerabilidades se están explotando de forma activa actualmente.
Microsoft ha publicado las siguientes actualizaciones de seguridad:
- Exchange Server 2010 (RU 31 para Service Pack 3: esta actualización es con fines de defensa en profundidad),
- Exchange Server 2013 (CU 23),
- Exchange Server 2016 (CU 19, CU 18),
- Exchange Server 2019 (CU 8, CU 7).
Además, recomienda instalar estas actualizaciones de manera inmediata.
Igualmente, ha compartido los indicadores de compromiso (IOC) para poder verificar si sus sistemas se han visto afectados por este ataque.
[Actualización 08/03/2021]: Microsoft ha publicado una serie de medidas de mitigación para aquellos que no puedan instalar las actualizaciones de manera inmediata. Para consultar el detalle de estas medidas puede consultar el siguiente enlace. Asimismo, el CISA también ha publicado su propio aviso.
[Actualización 17/03/2021]: Microsoft ha publicado una herramienta "one-click mitigation tool", que también cuenta con la ultima versión del Microsoft Safety Scanner, y que permite mitigar automáticamente la vulnerabilidad CVE-2021-26855 en cualquier Exchange server de la forma más rápida y fácil posible, antes de aplicar la actualización. Microsoft recomienda descargar y ejecutar esta herramienta a todos aquellos que aun no hayan aplicado la actualización de seguridad correspondiente.
[Actualización 13/04/2021]: el CISA ha añadido 2 nuevos Malware Analysis Reports (MARs) a la alerta AA21-062A:
- MAR-10331466-1.v1: China Chopper Webshell identifica una webshell de China Chopper detectado en servidores Microsoft Exchange post-comprometidos.
- MAR-10330097-1.v1: DearCry Ransomware identifica el ransomware que se ha utilizado para explotar servidores Exchange locales comprometidos.
Microsoft ha informado de la existencia de varias vulnerabilidades, que en su conjunto podrían comprometer un equipo con Microsoft Exchange Server. Los identificadores de estas vulnerabilidades son: CVE-2021-26857, CVE-2021-26858, CVE-2021-27065, y CVE-2021-26855.
El vector inicial del ataque se establece a través de una conexión no confiable con el puerto 443 del servidor Exchange, pero el bloqueo de estas conexiones solo protege de una parte inicial del ataque. No obstante, otros vectores pueden activarse si un atacante ya tiene acceso.
Microsoft ha confirmado que estas vulnerabilidades se están explotando de forma activa actualmente por un grupo identificado como HAFNIUM.
[Actualización 15/03/2021] CISA ha publicado 7 reportes de análisis de malware (MARs) a su alerta AA21-062A. Cada MAR identifica un webshell asociado a la explotación de las vulnerabilidades en los productos de Microsoft Exchange Server.
[Actualización 26/03/2021] CISA ha publicado 2 nuevos reportes de análisis de malware (MARs) a su alerta AA21-062A, identificando un total de 9 webshells asociados a la explotación de las vulnerabilidades.