Microsoft ha
publicado actualizaciones de seguridad fuera del ciclo mensual habitual, para
solucionar varias vulnerabilidades, catalogadas de importancia crítica, que afectan
a Microsoft Exchange Server.
Descripción
Un atacante remoto
podría aprovechar varias de estas vulnerabilidades de ejecución remota de
código para tomar el control de un sistema afectado, o aprovechar otra de las
vulnerabilidades para obtener acceso a información confidencial.
Microsoft ha
confirmado que estas vulnerabilidades se están explotando de forma activa
actualmente por un grupo identificado como HAFNIUM
Recursos afectados:
Microsoft Exchange
Server 2013.
Microsoft Exchange
Server 2016.
Microsoft Exchange
Server 2019.
Detalle:
Microsoft ha
informado de la existencia de varias vulnerabilidades, que en su conjunto
podrían comprometer un equipo con Microsoft Exchange Server. Los identificadores
de estas vulnerabilidades son: CVE-2021-26857, CVE-2021-26858, CVE-2021-27065,
y CVE-2021-26855.
El vector inicial del
ataque se establece a través de una conexión no confiable con el puerto 443 del
servidor Exchange, pero el bloqueo de estas conexiones solo protege de una
parte inicial del ataque. No obstante, otros vectores pueden activarse si un
atacante ya tiene acceso.
Microsoft ha
confirmado que estas vulnerabilidades se están explotando de forma activa
actualmente por un grupo identificado como HAFNIUM.
Recomendación
Microsoft ha
publicado las siguientes actualizaciones de seguridad:
Exchange
Server 2010 (RU 31 para Service Pack 3: esta actualización es con fines de
defensa en profundidad),
Exchange
Server 2016 (CU 19, CU 18),
Exchange
Server 2019 (CU 8, CU 7).
Además, recomienda
instalar estas actualizaciones de manera inmediata.
Igualmente, ha
compartido los indicadores
de compromiso (IOC) para poder verificar si sus sistemas se han visto
afectados por este ataque.
Fuente: INCIBE