Durante el pasado 2 de marzo, Microsoft hizo públicos una serie de parches de seguridad sobre los servicios de Microsoft Exchange para corregir vulnerabilidades 0-day que estaban siendo activamente explotadas por un APT de China (HAFNIUM). Estos parches afectaban directamente a las siguientes versiones de Microsoft Exchange: 2013, 2016 y 2019.
Todas las vulnerabilidades detectadas fueron catalogadas de riesgo alto, con el nombre de ProxyLogon, y les fueron asignados los siguientes identificadores CVE: CVE-2021-26412, CVE-2021-26854, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27078. De forma resumida, las vulnerabilidades permitían a un atacante escribir webshells en los servidores afectados, para posteriormente ejecutar comandos de forma remota.
A pesar de que la multinacional tecnológica hizo públicos los parches de seguridad para corregir las vulnerabilidades, es posible que no todos los usuarios hayan podido aplicar los parches antes de ser afectados. Es por ello que Microsoft ha actualizado su herramienta que permite realizar escaneos de seguridad (MSERT, del inglés, Microsoft Emergency Response Tool), para detectar las posibles webshells de ProxyLogon que puedan existir, y posteriormente eliminarlas.
Microsoft, entre otras medidas de seguridad a aplicar como mitigación, recomienda realizar un escaneo completo con la herramienta MSERT. En el supuesto que solo se quiera analizar el compromiso de ProxyLogon, la empresa recomienda realizar un análisis de las siguientes rutas, teniendo en cuenta lo observado durante los ataques ya realizados:
- %Ruta de instalación de IIS Server%\aspnet_client\*
- %Ruta de instalación de IIS Server%\aspnet_client\system_web\*
- %Ruta de instalación de Exchange Server%\FrontEnd\HttpProxy\owa\auth\*
- Ruta temporal configurada en ASP.NET
- %Ruta de instalación de Exchange Server%\FrontEnd\HttpProxy\ecp\auth\*
Además de la herramienta, el CERT Latvia ha publicado un script escrito en PowerShell que también permite detectar posibles webshells en servidores afectados. Se puede acceder a dicho script a través de su propio repositorio de GitHub.
Aplicar las medidas de mitigación propuestas y utilizar estas herramientas no garantizan la mitigación de posibles explotaciones en el futuro, por lo que es altamente recomendable aplicar los parches de seguridad de Microsoft tan pronto como sea posible.
Más información:
SecurityAffairs – Microsoft updated its Microsoft Safety Scanner (MSERT) tool to detect web shells employed in the recent Exchange Server attacks
https://securityaffairs.co/wordpress/115388/hacking/microsoft-msert-microsoft-exchange-attacks.html?web_view=true
BleepingComputer – Microsoft’s MSERT tool now finds web shells from Exchange Server attacks
https://www.bleepingcomputer.com/news/security/microsofts-msert-tool-now-finds-web-shells-from-exchange-server-attacks/
Deja una respuesta