Cabecera-v2-web.jpg

Secuestro de correos electrónicos en Microsoft Exchange


30/11/2021

Los atacantes están aprovechando las vulnerabilidades de ProxyLogon y ProxyShell en Microsoft Exchange Server para secuestrar correos electrónicos, enviando spam como respuestas a los mismos.

ProxyShell exploits: Microsoft Exchange servers are actively hacked

Proxylogon es un conjunto de vulnerabilidades (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065) que realizan evasión del control de autenticación, escalamiento de privilegios y ejecución remota de código explotando fallas en el Exchange Web Services (EWS) API endpoint y en el Unified Messaging service del servidor Microsoft Exchange vulnerable.

Proxyshell es un conjunto de vulnerabilidades (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) que también realizan evasión del control de autenticación, escalamiento de privilegios y ejecución remota de código con privilegios de administrador explotando fallas del componente Microsoft Client Access Servicie (CAS) que normalmente se encuentra activo en el puerto 443 ein IIS (Microsoft web server) del servidor Microsoft Exchange vulnerable.

A través de la explotación conjunta de las vulnerabilidades mencionadas los atacantes lograrían acceder al historial completo de correos electrónicos de la víctima conociendo solamente su dirección de correo electrónico.

Las versiones de Microsoft Exchange Server afectadas son las 2013, 2016 y 2019. Se recomienda instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11