Esencialmente, si los atacantes pudieran alcanzar tus servidores de Microsoft Exchange, podrían ejecutar múltiples exploits, tomar el control de los servidores y utilizarlos para desplazarse lateralmente por la infraestructura.
Es un total de 4 exploits, activamente utilizados para ataques a día de hoy. Además de los 4 ya mencionados al comienzo, Microsoft ha identificado otros 3 que todavía no han sido usados en ciberataques. La lista quedaría así.
ID | DESCRIPCION | EXPLOTADO |
---|---|---|
CVE-2021-26855 | Ejecución remota de código con SSRF (Server Side Request Forgery) | Sí |
CVE-2021-26857 | Ejecución remota de código (deserialización insegura en Unified Messaging Service) | Sí |
CVE-2021-26858 | Ejecución remota de código (vulnerabilidad que otorga acceso de escritura) | Sí |
CVE-2021-27065 | Ejecución remota de código (vulnerabilidad que otorga acceso de escritura) | Sí |
CVE-2021-26412 | Ejecución remota de código | No |
CVE-2021-26854 | Ejecución remota de código | No |
CVE-2021-27078 | Ejecución remota de código | No |
CVE-2021-26855 aka ProxyLogon
Pero si hay un «padre» de todo el proceso, podríamos decir que es ProxyLogon, cuya vulnerabilidad normalmente precede al resto.
Es decir, un ataque sin requerir autenticación y que podría poner cosas como webshell en nuestro servidor de forma rápida. Bastaría con utilizar el puerto de escucha HTTPS (TCP 443) y que este estuviera abierto, como ocurre obviamente por defecto.
Al menos 10 actores maliciosos, entre los que se intuyen algún que otro estado (China/Hafnium), están ya utilizando estos exploits para atacar diferentes empresas. ProxyLogon comenzó a utilizarse como ataque a principios de año, pero no ha sido fácil para Microsoft ponerse de acuerdo con las partes afectadas, sin dar una respuesta prematura que no cerrase el problema de forma definitiva.