El día dos de marzo, Microsoft publicó un security advisory y parches de emergencia OOB (Out-Of-Band) para resolver múltiples vulnerabilidades de día cero que parecen ya estar siendo activamente atacadas en entornos donde hay alguna de las versiones de Microsoft Exchange Server afectadas: 2010 (Ya en su End-Of-Life), 2013, 2016 y 2019.
Estas cuatro CVEs críticas mencionadas en el advisory incluyen una server-side request forgery (SSRF) a través de la red, CVE-2021-26855, a modo de punto de ingreso, y tres de uso local y post-autenticación: CVE-2021-26857, CVE-2021-26858, y CVE-2021-27065.
Los investigadores creen que estas vulnerabilidades han sido utilizadas en una cadena de ataque que pudo ganar acceso a la red de una organización a través del servidor de Exchange vulnerado, permitiendo acceder y extraer información sensible como todos los contenidos de buzones y direcciones agendadas en contactos, así como luego llevar a cabo operaciones como dumping de credenciales, manipulación del Active Directory e incluso moverse lateralmente en el entorno de red.
¿Cómo saber si he sido afectado?
Los advisories de Microsoft y CISA tienen información muy detallada sobre Indicadores de Compromiso (IOCs) y Tácticas, Técnicas y Procedimientos (TTPs) para este ataque. Para asistir a administradores de Exchange con la investigación de sus propios servidores, el equipo de Microsoft Exchange Server ha creado un script que puede ser ejecutado en servidores Exchange para escanear los logs en busca de los IOCs. Por otro lado, se recomienda a clientes que utilizan las versiones on-premises de Microsoft Exchange Server 2010 en adelante que utilicen esta herramienta o scripts similares para validar si han sido o no afectados.
Adicionalmente, clientes de Trend Micro pueden utilizar la tecnología XDR de Trend Micro Vision One, accesible desde su portal de licencias y llevar a cabo las búsquedas específicas que ha publicado Trend Micro (Sección: Using Trend Micro Products for Investigation) y pueden ser utilizadas para detectar posibles indicios de haber sufrido estos ataques. También es recomendable desde el punto de vista preventivo, aplicar los diferentes filtros ya disponibles (Sección: Preventative Rules and Filters), a modo de alerta temprana ante el más mínimo indicio:
Trend Micro Cloud One – Workload Security and Deep Security IPS Rules
Rule 1010854 – Microsoft Exchange Server Remote Code Execution Vulnerability (CVE-2021-26855)
Rule 1007170 – Identified Suspicious China Chopper Webshell Communication (ATT&CK T1100)
Trend Micro Cloud One – Network Security and TippingPoint IPS Filters
Filter 39101: HTTP: Microsoft Exchange Server-Side Request Forgery Vulnerability
Desde EDSI Trend nos ponemos a disposición ante cualquier organización que desee ponerse en contacto con nosotros para que le asistamos en llevar a cabo cualquiera de los procedimientos mencionados anteriormente.
