El código de explotación de prueba se lanzó en línea durante el fin de semana para una vulnerabilidad de alta gravedad explotada activamente que afecta a los servidores de Microsoft Exchange.
El error de seguridad detectado como CVE-2021-42321 afecta a Exchange Server 2016 y Exchange Server 2019 en las instalaciones (incluidos los utilizados por los clientes en el modo híbrido de Exchange) y Microsoft lo solucionó el martes de parches de este mes.
La explotación exitosa permite a los atacantes autenticados ejecutar código de forma remota en servidores Exchange vulnerables.
El domingo, casi dos semanas después de que se emitiera el parche CVE-2021-42321, el investigador Janggggg publicó un exploit de prueba de concepto para el error RCE posterior a la autenticación de Exchange.
“Esta PoC simplemente hace que mspaint.exe aparezca en el objetivo, se puede usar para reconocer el patrón de firma de un evento de ataque exitoso”, dijo el investigador. Ella dijo.
Los administradores advirtieron que apliquen el parche de inmediato
“Somos conscientes de los ataques dirigidos limitados en la naturaleza que utilizan una de las vulnerabilidades (CVE-2021-42321), que es una vulnerabilidad posterior a la autenticación en Exchange 2016 y 2019”, dijo Microsoft.
“Nuestra recomendación es instalar estas actualizaciones de inmediato para proteger su entorno”, dijo la compañía, instando a los administradores de Exchange a corregir el error de explotación en especie.
Si aún no ha solucionado esta vulnerabilidad de seguridad en sus servidores locales, puede generar un inventario rápido de todos los servidores de Exchange en su entorno que deben actualizarse con la última versión del script del Comprobador de estado de Exchange Server.
Para verificar si alguno de sus servidores Exchange vulnerables ya se ha visto afectado por los intentos de explotación CVE-2021-42321, debe ejecutar esta consulta de PowerShell en cada servidor Exchange para verificar eventos específicos en el registro de eventos:
Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }
Rutas de actualización de Exchange Server CVE-2021-42321 (Microsoft)
Servidores de Exchange locales bajo ataque
Los administradores de Exchange se han enfrentado a dos oleadas masivas de ataques desde principios de 2021, dirigidas a las vulnerabilidades de seguridad de ProxyLogon y ProxyShell.
Los actores de amenazas respaldados por el estado y con motivaciones financieras han utilizado los exploits de ProxyLogon para distribuir shells web, criptomineros, ransomware y otro malware desde principios de marzo.
En estos ataques, se dirigieron a más de un cuarto de millón de servidores Microsoft Exchange, pertenecientes a decenas de miles de organizaciones en todo el mundo.
Cuatro meses después, EE. UU. Y sus aliados, incluida la UE, el Reino Unido y la OTAN, culparon oficialmente a China de estos ataques de piratería generalizados de Microsoft Exchange.
En agosto, los actores de amenazas también comenzaron a escanear y piratear servidores de Exchange utilizando vulnerabilidades de ProxyShell después de que los investigadores de seguridad reprodujeron un exploit funcional.
Aunque las cargas útiles eliminadas mediante exploits ProxyShell eran inofensivas al principio, los atacantes luego pasaron a implementar cargas útiles de ransomware LockFile en dominios de Windows pirateados utilizando exploits PetitPotam de Windows.
Con la última vulnerabilidad (CVE-2021-42321), los investigadores ya están viendo atacantes que buscan e intentan comprometer sistemas vulnerables.
Acabo de atrapar a alguien suelto tratando de aprovechar CVE-2021-42321 para ejecutar código en MailPot, concateándolo con ProxyShell (no, ni siquiera sé por qué, no funciona).
– Kevin Beaumont (@GossiTheDog) 22 de noviembre de 2021
Dado que Microsoft Exchange se ha convertido en un objetivo popular para que los actores de amenazas obtengan acceso inicial a las redes de destino, se recomienda encarecidamente que mantenga sus servidores actualizados con los últimos parches de seguridad.
Fuente: https://diarioinforme.com/exploit-lanzado-para-el-error-rce-de-microsoft-exchange-parcheado-ahora/