Verifique sus parches – Explotación pública para errores críticos de intercambio – Seguridad desnuda
A principios de este mes, CVE-2021-42321 era técnicamente un error de día cero de Exchange.
Este error podría aprovecharse para la ejecución remota de código (RCE) no autorizada en Microsoft Exchange 2016 y 2019 y se corrigió en las actualizaciones del martes de parches de noviembre de 2021.
Microsoft enumeró oficialmente el error con las palabras «Explotación descubierta»lo que significa que alguien en algún lugar ya lo ha utilizado para lanzar ciberataques.
El lado positivo, si existe algo así como un agujero de día cero, es que el atacante se autentique (inicie sesión, si lo desea) en el servidor de Exchange primero.
Esto significa que es casi seguro que cualquiera que pueda explotar la vulnerabilidad CVE-2021-42321 ya haya iniciado sesión en la red o en la cuenta de correo electrónico de un usuario, lo que al menos casi descarta los ataques remotos anónimos desde casi cualquier lugar.
Aun así, tal error sigue siendo un problema de seguridad crítico, ya que no desea que los usuarios comunes puedan cargar y ejecutar ningún programa en cualquiera de sus servidores de red, especialmente no en su servidor de correo.
Aunque los ciberdelincuentes que pueden leer su correo electrónico ya son un problema grave, los estafadores que pueden infiltrarse en el servidor de correo electrónico por sí mismos sin tener que ser primero un administrador del sistema son una amenaza mucho mayor.
Con control sobre todo el servidor de correo electrónico en lugar de solo la cuenta de correo electrónico de un solo usuario, los atacantes podrían potencialmente introducir malware en el espiar todos los correos electrónicos corporativos, dentro y fuera; enviar correos electrónicos falsos en cualquier nombre directamente desde dentro de la organización; Implante de RAM que raspa el malware para buscar secretos comerciales que solo se almacenan temporalmente en la memoria o para recuperar contraseñas de red temporales; olfatear la actividad de la red desde una ubicación central; y mucho más.
Revisa tus parches
Si usted es el tipo de persona que es conservadora acerca de los parches y le gusta demorarse un tiempo para ver si otras personas tienen problemas primero …
… esperamos que la etiqueta «día cero / ya en la naturaleza» de este error le haya animado a no esperar demasiado y que ya haya aplicado las actualizaciones de este mes.
A no ser que, no lo dudes más.
Para bien o para mal, un investigador de seguridad de Janggggg (sí, con cinco G), también conocido como @testanull, publicó recientemente un exploit de prueba de concepto (PoC) para la vulnerabilidad CVE-2021-42321.
Por su propia cuenta, su código de ataque (irónicamente publicado en el sitio GitHub de Microsoft) «Solo pop[s] mspaint.exe en el destino «lo que significa que el exploit publicado no se puede utilizar directamente para ejecutar código arbitrario.
Pero Janggggg también proporcionó un enlace a una herramienta de «sombrero gris» que, según él, le ayudará a generar su propio código shell (código ejecutable disfrazado de datos) que se incrustará en el exploit en lugar de simplemente iniciar Microsoft Paint.
Esto significa que puede personalizar la PoC de Jangggg para que no solo la solicite algunos, puedes instruirlo cualquier cosa.
Este es un buen ejemplo de cómo el martes de parches a menudo es seguido por el miércoles, conocido en broma como miércoles armado o jueves de recuperación, cuando los expertos en seguridad intentan aplicar ingeniería inversa al parche para obtener información sobre lo que se solucionó y cómo.
Este tipo de análisis de parches no es trivial, pero a menudo ayuda tanto a los investigadores como a los atacantes a «redescubrir» el error y también a obtener información útil sobre cómo podría explotarse activamente.
Como puede imaginar, encontrar y explotar una vulnerabilidad en un producto de software es mucho más fácil y rápido cuando sabe dónde buscar, del mismo modo que es mucho más probable que gane en el blackjack cuando sabe qué cartas ya están disponibles.
A menudo, los detalles de cómo se corrigió un error, por ejemplo, un nuevo código de verificación de errores agregado para detectar y rechazar datos de entrada no válidos, pueden ser un atajo útil para comprender no solo cómo funciona el error, sino también cómo construir trampas explosivas Entrada que le permite hacerse cargo del programa vulnerable por completo, en lugar de simplemente fallar.
¿Qué tengo que hacer?
¡Parche inmediatamente!
Para verificar que sus servidores de Exchange están protegidos de esta y otras vulnerabilidades de seguridad conocidas, puede utilizar el script oficial de Microsoft Exchange Server HealthChecker PowerShell.
Este extenso script informa sobre muchos aspectos de su configuración de Exchange y también le informa acerca de las actualizaciones de seguridad que faltan.
Nota. Microsoft agregó Exchange 2013 a su lista de versiones vulnerables el 16/11/2021 para cambiar de opinión el 17/11/2021 e informar que lo hizo «Se eliminó Exchange Server 2013 de la tabla de actualizaciones de seguridad porque no se ve afectado por esta vulnerabilidad».
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
