CSIRT Panamá Aviso 2021-mar-3 Actualización fuera de ciclo de Microsoft Exchange Server

CSIRT Panamá Aviso 2021-mar-3 Actualización fuera de ciclo de Microsoft Exchange Server
Gravedad: Alta
Fecha de publicación: marzo 3, 2021
Última revisión: marzo 3, 2021
Fuente: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-fuera-ciclo-microsoft-exchange-server

Sistemas Afectados:
Microsoft Exchange Server 2013,
Microsoft Exchange Server 2016,
Microsoft Exchange Server 2019.

I. Descripción
Microsoft ha publicado actualizaciones de seguridad fuera del ciclo mensual habitual, para solucionar varias vulnerabilidades que afectan a Microsoft Exchange Server. Un atacante remoto podría aprovechar varias de estas vulnerabilidades de ejecución remota de código para tomar el control de un sistema afectado, o aprovechar otra de las vulnerabilidades para obtener acceso a información confidencial.

La empresa ha confirmado que estas vulnerabilidades se están explotando de forma activa actualmente.

II. Detalle
Microsoft ha informado de la existencia de varias vulnerabilidades, que en su conjunto podrían comprometer un equipo con Microsoft Exchange Server. Los identificadores de estas vulnerabilidades son: CVE-2021-26857, CVE-2021-26858, CVE-2021-27065, y CVE-2021-26855.

El vector inicial del ataque se establece a través de una conexión no confiable con el puerto 443 del servidor Exchange, pero el bloqueo de estas conexiones solo protege de una parte inicial del ataque. No obstante, otros vectores pueden activarse si un atacante ya tiene acceso.

Microsoft ha confirmado que estas vulnerabilidades se están explotando de forma activa actualmente por un grupo identificado como HAFNIUM

III. Referencia a soluciones, herramientas e información
Microsoft ha publicado las siguientes actualizaciones de seguridad:

Exchange Server 2010 (RU 31 para Service Pack 3: esta actualización es con fines de defensa en profundidad),
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2010-service-pack-3-march-2-2021-kb5000978-894f27bf-281e-44f8-b9ba-dad705534459

Exchange Server 2013 (CU 23),
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b

Exchange Server 2016 (CU 19, CU 18),
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b

Exchange Server 2019 (CU 8, CU 7).
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b

Además, recomienda instalar estas actualizaciones de manera inmediata.

Igualmente, ha compartido los indicadores de compromiso (IOC) para poder verificar si sus sistemas se han visto afectados por este ataque.

IV. Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124