Microsoft ha publicado de emergencia cuatro parches de seguridad para solucionar vulnerabilidades de seguridad de día cero y que son objetos de explotación activa en Microsoft Exchange Server 2010, 2013, 2016 y 2019.
De acuerdo con la Alerta de la Agencia de Seguridad Cibernética y de Infraestructura (CISA) de los Estados Unidos, la explotación exitosa de las vulnerabilidades permite que un atacante no autenticado ejecute código arbitrario en servidores Exchange vulnerables, lo que permite al atacante obtener acceso persistente al sistema, así como el acceso a archivos y buzones de correo en el servidor y a las credenciales almacenadas en el sistema. La explotación exitosa también puede permitir al atacante comprometer la confianza y la identidad en una red vulnerable.
La publicación fuera del habitual martes de parches de Microsoft es debido a los reportes de que las vulnerabilidades corregidas son objeto de ataques de explotación, limitados y dirigidos, hacia versiones locales de Microsoft Exchange Server. No afecta a los servicios de correo electrónico en la nube de Exchange Online o Microsoft 365 (anteriormente O365).
Las vulnerabilidades de seguridad explotadas son las CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065. En los ataques observados, el actor de la amenaza utilizó estas vulnerabilidades para acceder a los servidores de Exchange locales que permitieron el acceso a las cuentas de correo electrónico así como la instalación de malware adicional para facilitar el acceso a largo plazo a los entornos de las víctimas.
Microsoft Threat Intelligence Center (MSTIC) atribuye los ataques a HAFNIUM, un grupo evaluado como patrocinado por el estado y que opera fuera de China, según la victimología, las tácticas y los procedimientos observados.
Es recomendable aplicar los parches publicados para minimizar o evitar los impactos de los ataques de explotación de las vulnerabilidades. Dar prioridad a los servidores a los que se puede acceder desde Internet (por ejemplo, servidores que publican Outlook en la web/OWA y ECP).
Para parchar las vulnerabilidades, Microsoft recomienda pasar a las últimas actualizaciones acumulativas de Exchange y luego instalar las actualizaciones de seguridad relevantes en cada servidor de Exchange. Ejecutar la última versión del script Exchange ServerHealth Checker, que puede descargarse desde GitHub, para saber si está atrasado en actualizaciones. Considere que la secuencia de comandos no es compatible con Exchange Server 2010.
Es recomendable que el personal de Seguridad de Sistemas evalúe si las vulnerabilidades fueron o están siendo objeto de explotación de las vulnerabilidades corregidas por los parches publicados para Exchange Server.