icetray - Fotolia
Problemas de Exchange Server se ciernen sobre el Martes de parches de marzo
Para muchas organizaciones que dependen de Exchange por motivos adicionales al correo electrónico, el cambio a una plataforma de mensajería más segura no es una opción.
Microsoft lanzó actualizaciones de seguridad para 82 vulnerabilidades únicas en el Martes de Parches de marzo, incluido un día cero del navegador, pero las consecuencias de los días cero de Exchange Server recientes continúan eclipsando a las organizaciones afectadas por los exploits.
El 2 de marzo, Microsoft emitió parches fuera de banda para cuatro días cero (CVE-2021-27065, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858) que afectan a Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019. Según Microsoft, un actor de amenazas apodado Hafnium, con vínculos con el gobierno chino, utilizó estos exploits para atacar una variedad de industrias, incluidos los contratistas de defensa y los bufetes de abogados. Un funcionario de Microsoft explicó cómo Hafnium usó los exploits en una publicación de blog.
«Los ataques incluían tres pasos. Primero, obtendría acceso a un servidor Exchange, ya sea con contraseñas robadas o utilizando las vulnerabilidades no descubiertas previamente para disfrazarse como alguien que debería tener acceso. En segundo lugar, crearía lo que se llama un shell web para controlar el servidor comprometido de forma remota. En tercer lugar, utilizaría ese acceso remoto, ejecutado desde los servidores privados con sede en EE. UU., para robar datos de la red de una organización», escribió Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft.
Los cuatro CVE funcionan de la siguiente manera: -26855 es una vulnerabilidad de solicitud del lado del servidor que permite a un atacante enviar solicitudes HTTP arbitrarias y autenticarse como el servidor Exchange; -26857 es una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada, que permite a un atacante ejecutar código como SYSTEM en el servidor Exchange y requiere derechos de administrador u otra vulnerabilidad para explotar; y, finalmente, -26858 y -27065 son vulnerabilidades de escritura de archivos arbitrarias posteriores a la autenticación que permiten a un atacante escribir un archivo en cualquier ruta del servidor en el que puedan autenticarse, por ejemplo, explotando -26855 o utilizando credenciales robadas.
El mismo día, Microsoft agregó parches para tres vulnerabilidades de ejecución de código remoto de Exchange Server (CVE-2021-26412, CVE-2021-26854 y CVE-2021-27078) que, según la compañía, no estaban relacionadas con las vulnerabilidades de Hafnium.
El vicepresidente senior y director de tecnología de FireEye Mandiant, Charles Carmakal, dijo: «FireEye ha observado que estas vulnerabilidades se explotan por ahí y estamos trabajando activamente con varias organizaciones afectadas. Además de aplicar los parches lo antes posible, recomendamos a las organizaciones que también revisen sus sistemas en busca de evidencia de explotación que pueda haber ocurrido antes de la implementación de los parches».
Exchange presenta un dilema local para muchas organizaciones
Según Chris Goettl, director senior de gestión de productos para productos de seguridad en Ivanti, muchas organizaciones continúan usando Exchange Server local por varias razones, como el alto costo y el esfuerzo operativo requerido para cambiar de manera limpia y evitar interrupciones con las aplicaciones y los equipos que dependen de Exchange.
«Esta plataforma seguirá siendo un objetivo fácil de los actores de amenazas porque es una plataforma de servidor compleja para actualizar», dijo. «No se trata de si habrá otro exploit importante de Exchange, sino de cuándo. ¿Serán seis meses, 12 meses, 18 meses? Otro vendrá y otro después de eso».
Inicialmente, los clientes con sistemas Exchange Server afectados necesitaban actualizar cada uno a la última actualización acumulativa antes de poder aplicar los parches de Hafnium, pero el 8 de marzo Microsoft lanzó varias actualizaciones de seguridad para versiones anteriores de Exchange 2016 y Exchange 2019. Un blog del equipo de Exchange Server estipuló que estos parches estaban «pensados solo como una medida temporal para ayudarlo a proteger las máquinas vulnerables en este momento» y estos sistemas de Exchange aún requieren las últimas actualizaciones acumulativas.
Exchange Server 2010 ya no tiene soporte, pero Microsoft lanzó un parche que corrige la vulnerabilidad de día cero CVE-2021-26857 para este producto. No sucede con frecuencia, pero Microsoft publicará parches para productos no soportados si determina que la amenaza es lo suficientemente grave. El investigador de seguridad Brian Krebs estimó que las hazañas de Hafnium se han utilizado para infiltrarse en más de 30.000 organizaciones en los EE. UU.
Los ataques a la plataforma de mensajería local de Microsoft dificultan la vida de las organizaciones que aún están conectadas a, al menos, un servidor Exchange únicamente por la necesidad de ejecutar Azure Active Directory Connect para sincronizar las identidades entre Exchange Online y Active Directory local. Es un problema que ha molestado a empresas de todos los tamaños sin una resolución oficial a la vista. Es posible eliminar la configuración híbrida de Exchange y encontrar otra forma de manejar esta sincronización de Active Directory, pero usted pierde el soporte de Microsoft en el proceso.
Steve Goodman, un estratega de tecnología principal del proveedor de servicios y tecnología de la información Content + Cloud, compartió su frustración con la situación en Twitter después de que un funcionario de Microsoft reprendiera a las organizaciones que continúan usando Exchange local.
«Porque no puede eliminar el último #MSExchange Server si está ejecutando Azure AD Connect. Microsoft ha prometido resolver esto durante años. Y algunos clientes grandes y pequeños tienen razones legítimas. MS debe poseer esto y no cuestionar por qué sus clientes usan el software que venden», escribió Goodman.
En otras situaciones, algunas empresas tienen motivos normativos o de cumplimiento que no les permiten colocar el correo electrónico en la nube, lo que les obliga a permanecer con Exchange Server.
Microsoft lanzó dos herramientas para descubrir el uso del exploit y mitigar el problema para los administradores que no podían parchar Exchange de inmediato. La presencia de shells web, herramientas basadas en navegador que le dan al atacante una forma de manipular los sistemas comprometidos a través de internet, en Exchange significa que el parche llega demasiado tarde y el servidor deberá reconstruirse.
«Esta mitigación no lo protege a largo plazo. Es una clasificación para mantener vivo al paciente el tiempo suficiente para llevarlo a la sala de emergencias», dijo Goettl.
Día cero del navegador y divulgación pública de Windows destacan el Martes del Parches de marzo
De las 82 vulnerabilidades únicas para el Martes de Parches de marzo, 10 fueron calificadas como críticas.
Microsoft corrigió una vulnerabilidad crítica de corrupción de memoria de día cero (CVE-2021-26411) en Internet Explorer 11 y los navegadores Microsoft Edge basados en HTML que se ejecutan en sistemas de servidor y de escritorio Windows con soporte.
El error se explota activamente con una puntuación CVSS base relativamente alta de 8,8 que requiere la interacción de un usuario autorizado para activar el exploit abriendo un archivo adjunto de correo electrónico o visitando un sitio web malicioso.
«El atacante no puede ejecutar esto automáticamente, pero puede diseñar socialmente a los usuarios para que lo hagan a través de sitios web especialmente diseñados para convencer a los usuarios de que hagan clic en el exploit», dijo Goettl.
CVE-2021-27077 es una vulnerabilidad de elevación de privilegios de Windows Win32k divulgada públicamente y calificada como importante para los sistemas de escritorio y servidor de Windows compatibles que podrían usarse en conjunto con el navegador de día cero para expandir el acceso al sistema.
«Este exploit no sería su primera línea de ataque como atacante, pero es una de esas cosas en su bolsa de herramientas que puede sacar para tratar de obtener el nivel elevado de permisos para pasar al siguiente paso del ataque», dijo Goettl.
Otras correcciones notables para el Martes de Parches de marzo
- Una vulnerabilidad crítica de ejecución de código remoto del servidor DNS (CVE-2021-26897) para los sistemas Windows Server compatibles con la puntuación CVSS básica relativamente alta de 9,8. Microsoft señaló que solo un sistema Windows Server configurado como servidor DNS es vulnerable.
-
Dos vulnerabilidades críticas de ejecución de código sin firmar (CVE-2021-27074 y CVE-2021-27080) para la plataforma Azure Sphere IoT. Los dispositivos de Azure Sphere se parchan automáticamente, pero los dispositivos desconectados deben colocarse en una red local privada segura con acceso a internet para obtener el parche.
-
Una importante vulnerabilidad de ejecución de código remoto de SharePoint Server (CVE-2021-27076) que afecta a SharePoint Foundation 2013, Business Productivity Servers 2010, SharePoint Server 2019 y SharePoint Enterprise Server 2016. Microsoft indicó que un atacante necesitaría privilegios existentes para crear un sitio de SharePoint requerido para lanzar el exploit.
-
Microsoft abordó 10 CVE relacionados con la extensión de video HEVC: CVE-2021-24089, CVE-2021-24110, CVE-2021-26902, CVE-2021-27047, CVE-2021-27048, CVE-2021-27049, CVE- 2021-27050, CVE-2021-27051, CVE-2021-27061 y CVE-2021-27062. Microsoft Store actualiza estas extensiones automáticamente, pero podría pasarse por alto y quedar vulnerable en entornos desconectados.
Los administradores de entornos de desarrolladores querrán abordar una vulnerabilidad de divulgación de información importante (CVE-2021-27075) que afecta a Azure Kubernetes Service, Azure Container Instances, Azure Spring Cloud y Azure Service Fabric para evitar que un atacante remoto con credenciales acceda a información confidencial en el sistema.
Con información de Alex Scroxton