Amenazas emergentes: explotación masiva de las vulnerabilidades de Exchange Server (2010-2019)

El 2 de marzo de 2021, Microsoft publicó una actualización de emergencia para abordar 4 vulnerabilidades críticas en Exchange Server 2010, 2013, 2016 y 2019.



Nuestro equipo de Incidentes y Forense participa activamente en la investigación de incidentes resultantes de estas nuevas amenazas. Hemos observado que estas vulnerabilidades se utilizan de forma malintencionada para obtener acceso remoto a los servidores de Exchange y luego descargar datos confidenciales, incluidos buzones de correo completos.



Tenga en cuenta que lo más probable es que los atacantes utilicen el acceso remoto a Exchange para luego cambiar a sistemas aún más críticos, como los controladores de dominio.



Microsoft ha informado de que un grupo chino supuestamente patrocinado por el estado, HAFNIUM, explota estas vulnerabilidades. Según Microsoft , Exchange Online no se ve afectado por las mismas vulnerabilidades.

Descripción de vulnerabilidades

En total, cuatro CVE se explotan durante el ataque:

• CVE-2021-26855 es una vulnerabilidad de falsificación de solicitudes del lado del servidor de Exchange (SSRF) que permite a los atacantes enviar solicitudes HTTP arbitrarias y autenticarse en nombre de un servidor de Exchange específico.
• CVE-2021-26857 - utilizado para escalar privilegios - escalada de privilegios, para obtener los privilegios de la cuenta del sistema en el servidor: SISTEMA
• CVE-2021-26858 y CVE-2021-27065 se utilizan para escribir archivos en una carpeta arbitraria (cualquiera) del servidor.

Los equipos de atacantes unen los exploits de estas vulnerabilidades para llevar a cabo ataques efectivos. Además, puede ver el análisis de estas operaciones desde Veloxity .

¿Cómo se produce el ataque?

1. Los atacantes encuentran servidores Exchange vulnerables con el puerto HTTP abierto 443
2. Aprovecha una vulnerabilidad SSRF (la primera de las descritas anteriormente) para obtener el acceso y la autenticación necesarios en nombre de este servidor de Exchange.
3. (SYSTEM), , , (, ProcDump)
4. Exchange / ,
5. , , «»
6. WebShell, .

• , Exchange, , . , Microsoft : Cumulative Update Security Update.
• Microsoft PowerShell , , ASPX(.aspx)
• (Kevin Beaumont) « » nmap
• - Varonis DatAlert :
  
  
  
  
  • , Exchange;
  • Web, , , DNS ( SWG [web-proxy] DNS Edge);
  • , «» Exchange;
  • , , ( , – Data Classification Engine).

PD: Si necesita ALGUNA ayuda, comuníquese con el equipo de Russian Varonis o con el Departamento de Investigación de Incidentes directamente a través de una página dedicada en nuestro sitio web y haremos todo lo posible para asegurarnos de que está seguro, incluso si su empresa no un cliente de Varonis.