Microsoft Exchange: los atacantes buscan ProxyShell

Los atacantes están apuntando actualmente a una serie de vulnerabilidades conocidas como «ProxyShell». Las vulnerabilidades se han cerrado desde abril y mayo de este año. Las empresas afectadas deben parchear sus servidores Exchange inmediatamente.

En torno a la conferencia de seguridad «BlackHat», que tiene lugar anualmente en Las Vegas, los investigadores de seguridad a menudo publican brechas de seguridad previamente desconocidas. Así que este año también: tres fallas de seguridad en Microsoft Exchange están creando una vez más trabajo para las empresas que operan un servidor Exchange localmente. Los nombres son CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207.

El ataque, denominado «ProxyShell», utiliza estos tres agujeros de seguridad para obtener acceso a los sistemas vulnerables. Alrededor de 400.000 servidores Exchange en todo el mundo se ven potencialmente afectados. En este contexto, el equipo de investigación advierte contra la exposición de los servidores Exchange a Internet. Las instancias de Exchange a las que se puede acceder desde Internet a través del puerto 443 tienen un mayor riesgo de ser el objetivo de un ataque.
Las instalaciones locales de Microsoft Exchange 2013, 2016 y 2019 se ven afectadas.

Paralelos a los ataques de hafnio

Al igual que con las vulnerabilidades de Exchange explotadas por el grupo Hafnium, los atacantes también comenzaron a buscar activamente sistemas vulnerables en el caso de una de las vulnerabilidades «ProxyShell». Se espera que estas actividades sigan aumentando en los próximos días.

La acción inmediata es muy importante, ya que un atacante puede apoderarse completamente del sistema si se ve comprometido. Se puede ejecutar cualquier código de programa.

Atacar desde una nueva perspectiva

Todos los agujeros de seguridad ya han sido reparados, dos de ellos desde abril ( parche KB5001779 ) y uno desde mayo ( KB5002325 ). Por lo tanto, había una actualización disponible antes de que Microsoft fuera informado por primera vez desde el exterior en julio. De modo que existe alguna evidencia de que la brecha se conocía internamente y que se reparó «silenciosamente». Según el investigador de seguridad con el memorable mango Orange Tsai, ProxyShell tiene «efectos sin precedentes», ya que la investigación del método de ataque no se basa en fugas de memoria o errores lógicos, como es habitual, sino en «un enfoque que se centra en la arquitectura de el sistema».

Enlace: https://www.gdata.de/blog/exchange-proxyshell Blog de G DATA Tim Berghoff