Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Exploit lanzado para el error de Microsoft Exchange RCE

Exploit lanzado para el error de Microsoft Exchange RCE

por Dragora

El código de explotación de prueba de concepto se lanzó en línea durante el fin de semana para una vulnerabilidad de alta gravedad explotada activamente que afecta a los servidores de Microsoft Exchange.

El error de seguridad registrado como CVE-2021-42321 afecta a Exchange Server 2016 y Exchange Server 2019 en las instalaciones (incluidos los utilizados por los clientes en el modo híbrido de Exchange) y Microsoft lo corrigió durante el martes de parches de este mes.

La explotación exitosa permite a los atacantes autenticados ejecutar código de forma remota en servidores Exchange vulnerables.

El domingo, casi dos semanas después de que se emitiera el parche CVE-2021-42321 , el investigador Janggggg publicó un exploit de prueba de concepto para el error de RCE posterior a la autenticación de Exchange.

«Este PoC sólo pop mspaint.exe en el objetivo, se puede utilizar para reconocer el patrón de la firma de un ataque exitoso evento», el investigador dijo .

Se advierte a los administradores que apliquen el parche de inmediato

Somos conscientes de los ataques dirigidos limitados en la naturaleza utilizando una de las vulnerabilidades (CVE-2021-42321), que es una vulnerabilidad posterior a la autenticación en Exchange 2016 y 2019.

dijo Microsoft.

 

Nuestra recomendación es instalar estas actualizaciones de inmediato para proteger su entorno.

dijo la compañía.

instando a los administradores de Exchange a parchear el error explotado en la naturaleza.

Si aún no ha parcheado esta vulnerabilidad de seguridad en sus servidores locales, puede generar un inventario rápido de todos los servidores de Exchange en su entorno que deben actualizarse utilizando la última versión del script del Comprobador de estado de Exchange Server .

Para verificar si alguno de sus servidores Exchange vulnerables ya ha sido afectado por intentos de explotación CVE-2021-42321, debe ejecutar esta consulta de PowerShell en cada servidor Exchange para verificar eventos específicos en el Registro de eventos:


1
Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }
Rutas de actualización de Exchange Server
Rutas de actualización de Exchange Server CVE-2021-42321 (Microsoft)

Servidores de Exchange locales bajo ataque

Los administradores de Exchange se han enfrentado a dos oleadas masivas de ataques desde principios de 2021, dirigidas a las vulnerabilidades de seguridad de ProxyLogon y ProxyShell.

Los actores de amenazas respaldados por el estado y motivados financieramente utilizaron exploits de ProxyLogon para implementar shells web, criptomineros, ransomware y otro malware a partir de principios de marzo.

En estos ataques, se dirigieron a más de un cuarto de millón de servidores Microsoft Exchange, pertenecientes a decenas de miles de organizaciones en todo el mundo.

Cuatro meses después, EE. UU. Y sus aliados, incluida la UE, el Reino Unido y la OTAN, culparon oficialmente a China de estos ataques de piratería informática generalizados de Microsoft Exchange.

En agosto, los actores de amenazas también comenzaron a buscar y violar los servidores de Exchange explotando las vulnerabilidades de ProxyShell después de que los investigadores de seguridad  reprodujeron un exploit en funcionamiento .

A pesar de que las cargas útiles que se redujeron con las vulnerabilidades de ProxyShell eran inofensivas al principio, los atacantes luego cambiaron a la implementación de las cargas útiles del ransomware LockFile en los dominios de Windows pirateados con las vulnerabilidades de Windows PetitPotam .

Con esta última vulnerabilidad (CVE-2021-42321), los investigadores ya están viendo cómo los atacantes buscan e intentan comprometer los sistemas vulnerables.

Dado que Microsoft Exchange se ha convertido en un objetivo popular para que los actores de amenazas obtengan acceso inicial a las redes de los objetivos, se recomienda encarecidamente mantener los servidores actualizados con los últimos parches de seguridad.

Fuente: https://www.bleepingcomputer.com

You may also like

Dejar Comentario

Click to listen highlighted text!