Microsoft lanzó parches para 4 errores de día cero en sus servidores Exchange

Microsoft acaba de lanzar parches de seguridad para cuatro vulnerabilidades de día cero encontradas en sus servidores Exchange, que están siendo explotados activamente en libertad. Los actores de la amenaza detrás de estos ataques se llaman HAFNIUM, un grupo de piratas informáticos apoyados por el estado chino. Informaron tener servidores Exchange para robar datos corporativos. Se recomienda encarecidamente instalar los parches de inmediato.

Explotación de servidores de Microsoft Exchange

Microsoft lanzó parches para 4 errores de día cero en sus servidores Exchange

Servidores de Microsoft Exchange basado en la plataforma Windows, permite que los empleados de la empresa se comuniquen entre sí y con otras personas externas a través de diversos medios. Estos servidores tienen cuatro vulnerabilidades de día cero, que ahora están siendo explotadas por un grupo de piratas informáticos respaldados por el estado chino llamado HAFNIO, por robar datos de correo electrónico de empresas.

Los piratas informáticos remotos que se dirigen a los servidores de Exchange deben aprovechar las siguientes vulnerabilidades para obtener acceso remoto:

  • CVE-2021-26855 es una vulnerabilidad de suplantación de solicitudes del lado del servidor (SSRF) en Exchange que permite a un atacante enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.
  • CVE-2021-26857 es una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada que permite a un atacante ejecutar código como SYSTEM en el servidor Exchange.
  • CVE-2021-26858 y CVE-2021-27065 son archivos arbitrarios que registran vulnerabilidades en Exchange, lo que permite a los atacantes autenticarse en el servidor de Exchange.

Todos estos cuatro exploits se pueden encadenar para obtener acceso remoto a los servidores Exchange de la empresa, y Úselos para instalar un shell web para enviar archivos adicionales, robar datos para correos electrónicos y puertas traseras. Microsoft ha detectado que el grupo HAFNIUM está utilizando servidores privados virtuales con base en Estados Unidos para sus ataques.

Además de robar datos, pueden crear un shell remoto de regreso a C2 para acceso interno y también volcar la memoria LSASS.exe para obtener las credenciales almacenadas en caché. Microsoft ha publicado parches de seguridad para estas cuatro vulnerabilidades y recomienda que los usuarios los instalen de inmediato para evitar ataques.

Los usuarios pueden usar Nmap, un script del analista senior de inteligencia de amenazas de Microsoft, Kevin Beaumont, para buscar servidores de Microsoft Exchange vulnerables. La actualización de los servidores con el último parche requiere que sean compatibles con el paquete acumulativo de actualizaciones y el paquete acumulativo de actualizaciones. Lea más sobre cómo proteger sus servidores Exchange aquí..