Parche Exchange Server ahora: los atacantes buscan activamente nuevas vulnerabilidades
2 min readMicrosoft Exchange Server es un objetivo popular para los delincuentes informáticos. El servidor de correo está muy extendido en empresas y comunidades y, a menudo, actúa como puerta de entrada a sus redes. La semana pasada, el investigador de seguridad Orange Tsai en la conferencia Black Hat 2021 nuevos ataques al software. Días después, los operadores de honeypot aparentemente buscan específicamente cerrar la brecha. Los administradores deben proporcionar inmediatamente todas las actualizaciones disponibles a los servidores. Las actualizaciones aparecieron hace meses y llenan los vacíos.
Orange Tsai tuvo que combinar varios problemas, como describió en su conferencia, para poder acceder desde el exterior como usuario no autenticado y adquirir más derechos. El punto débil estaba en el Servicio de acceso de cliente de Exchange (CAS). Maneja el tráfico entrante para varios protocolos. La puerta abierta fue la función de detección automática. Los clientes de correo electrónico utilizan el archivo de detección automática para acceder a los detalles del servidor durante la configuración, lo que elimina la necesidad de que el usuario ingrese la dirección del servidor, el puerto y otros detalles.
Parches listos desde abril
Había tres números CVE para problemas que pasan a la historia como ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Fueron reparados por Microsoft en abril y mayo con KB5001779 y KB5003435. Microsoft corrigió los dos primeros agujeros antes de que Tsai los informara. Microsoft debe haberlo descubierto de otra manera. Cualquiera que no haya parcheado sus servidores conectados a Internet desde entonces debería hacerlo rápidamente.
Pocos días después de la conferencia en Black Hat, el experto en seguridad informática observó Kevin Beaumont en su servidor Exchange, que configuró como un honeypot, las entradas de registro en las que se probó exactamente la brecha de detección automática. Esto indica que los atacantes también siguen presentaciones en conferencias de seguridad y adaptan rápidamente sus pruebas automáticas.
Mientras tanto, el investigador de seguridad Orange Tsai no puede esperar una recompensa del programa de recompensas por errores de Microsoft. El servidor de Exchange es no cubierto por el programa.
(Mermelada)
“Adicto a la televisión total. Experto en viajes. Gurú de Twitter. Evangelista de tocino. Creador galardonado. Aficionado al alcohol. Fanático de la música. Solucionador de problemas”.
