Los servidores de Microsoft Exchange, el núcleo sobre el cual circulan millones de correos electrónicos corporativos, han sido atacados mediante ProxyShell.
ProxyShell consiste en un grupo de tres errores de seguridad que se pueden utilizar para tomar el control de los servidores de correo Microsoft Exchange. Dichos errores se están notificando mediante los siguientes CVE:
- CVE-2021-34473, provee un mecanismo para la ejecución de código pre-autenticación remotamente, permitiendo el acceso a entidades maliciosas al sistema afectado
- CVE-2021-34523, permite a agentes maliciosos ejecutar código arbitrario post-autenticación sobre servidores Microsoft Exchange debido a una falla del servicio PowerShell a lahora de validar tokens de acceso.
- CVE-2021-31207, permite actores maliciosos ejecutar código arbitrario post-autenticación en el contexto de SYSTEM y escribir archivos de forma arbitaria.
Poniendo números a la situación, un escaneo hecho a principios de agosto por parte de ISC SANS, dos días antes de la publicación del proof-of-concept (PoC, Prueba de Concepto), se encontró que más de 30.000 servidores Exchange, de un total de 100.000 aún tenían pendientes un parcheo.
La explotación inicial ha ocurrido sobre más de 1.900 dispositivos. Para empeorar la situación, un usuario de un foro ruso de cibercrimen ha publicado la lista de los 100.000 servidores Exchange accesibles mediante internet, facilitando así las posibilidades de ataque a terceras entidades.
Las recomendaciones pasan por actualizar a la última versión, monitorizar los indicadores de compromiso (IoC) y permanecer atento a las nuevas informaciones que se van publicando acerca de las vulnerabilidades
Imagen: Pixabay
Fuente: The Record
