Explotación activa de vulnerabilidades RCE (ProxyShell) en Microsoft Exchange

ProxyShell es un conjunto de tres fallas de seguridad (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) que afectan a Microsoft Exchange Server y que conjuntamente pueden ser explotadas para para lograr ejecutar código arbitrario remotamente sin autenticación. A continuación se enumeran las vulnerabilidades:

  1. CVE-2021-34473 Server Side Request Forgery en Microsoft Exchange Server Autodiscover (parcheada en conjunto a otras vulnerabilidades en Abril en KB5001779).
  2. CVE-2021-31207 Escritura arbitraria de archivos RCE en Microsoft Exchange Server (parcheada en Mayo por Microsoft en KB5003435).
  3. CVE-2021-34523 Autenticación inadecuada en Microsoft Exchange Server PowerShell (parcheada por Microsoft en Abril en KB5001779).

Estas tres vulnerabilidades pueden ser utilizadas en conjunto por parte de un atacante remoto no autenticado para saltar los mecanismos de autenticación y lograr ejecutar código arbitrario en el contexto de SYSTEM (máximo privilegio), logrando el control total del servidor.

Los detalles técnicos de estas vulnerabilidades, que habían sido descubiertas en el concurso Pwn2Own2021 en abril, fueron presentados en la conferencia Black Hat 2021. Investigadores han detectado que adversarios están actualmente escaneando Internet en busca de servidores afectados por estas tres vulnerabilidades.

Las correcciones de CVE-2021-34473 y CVE-2021-34523 ya habían sido incluidas en el parche de abril y CVE-2021-31207 en el de mayo, sin embargo, existen todavía numerosos servidores que no han sido actualizados, lo cual, sumado a la reciente presentación de los exploits, aumenta el riesgo de ataque a estos servidores vulnerables.

La explotación exitosa de las vulnerabilidades podría permitir a los atacantes remotos el control total del sistema.

Los sistemas afectados son Microsoft Exchange Server 2019, 2016 y 2013..

Desde el CERT-Py le recomendamos verificar que su servidor Microsoft Exchange se encuentre actualizado, específicamente verificar que cuente con los siguientes parches correctamente instalados y aplicados:

Información adicional:

Compartir: