Se han reportado ataques de explotación de vulnerabilidades ProxyShell a servidores Microsoft Exchange no parchados, no obstante que Microsoft ya ha publicado los parches de seguridad.
Los atacantes están explotando activamente las siguientes vulnerabilidades de ProxyShell: CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207, y podrían ejecutar código arbitrario en el equipo vulnerable. El ataque exitoso de la explotación de vulnerabilidades podría llevar a la implementación de ransomware en el servidor víctima.
Estos ataques ocurren solamente a servidores Exchange que no tienen implementadas las actualizaciones de seguridad de mayo o julio de 2021. Los servidores Exchange actualizados y los sistemas clientes de Exchange Online están protegidos, aunque los administradores de sistemas deben asegurarse de que todos los servidores de Exchange híbridos estén actualizados.
De acuerdo con el aviso de Microsoft, es fundamental mantener los servidores Exchange actualizados con las últimas actualizaciones acumulativas (CU) y actualizaciones de seguridad (SU) disponibles. Los servidores de Exchange son vulnerables si se cumple alguna de las siguientes condiciones:
- El servidor está ejecutando una CU anterior, no compatible (sin SU de mayo de 2021).
- El servidor está ejecutando actualizaciones de seguridad para versiones anteriores, versiones no compatibles de Exchange que se lanzaron en marzo de 2021; o
- El servidor está ejecutando una CU anterior, no compatible, con las mitigaciones de EOMT de marzo de 2021 aplicadas.
Microsoft recomienda que en todos los escenarios anteriores, debe instalar una de las últimas CU compatibles y todas las SU aplicables para estar protegido. Cualquier servidor de Exchange que no esté en una CU compatible y la última SU disponible es vulnerable a ProxyShell y otros ataques que aprovechan vulnerabilidades más antiguas.
Es recomendable instalar las últimas CU y SU en todos los servidores Exchange para garantizar que el servidor está protegido contra las últimas amenazas.