El tema de la vulnerabilidad ProxyLogon

Esencialmente, si los atacantes pudieran alcanzar tus servidores de Microsoft Exchange, podrían ejecutar múltiples exploits, tomar el control de los servidores y utilizarlos para desplazarse lateralmente por la infraestructura.

Es un total de 4 exploits, activamente utilizados para ataques a día de hoy. Además de los 4 ya mencionados al comienzo, Microsoft ha identificado otros 3 que todavía no han sido usados en ciberataques. La lista quedaría así.

IDDESCRIPCIONEXPLOTADO
CVE-2021-26855Ejecución remota de código con SSRF (Server Side Request Forgery)
CVE-2021-26857Ejecución remota de código (deserialización insegura en Unified Messaging Service)
CVE-2021-26858Ejecución remota de código (vulnerabilidad que otorga acceso de escritura)
CVE-2021-27065Ejecución remota de código (vulnerabilidad que otorga acceso de escritura)
CVE-2021-26412Ejecución remota de códigoNo
CVE-2021-26854Ejecución remota de códigoNo
CVE-2021-27078Ejecución remota de códigoNo

CVE-2021-26855 aka ProxyLogon

Pero si hay un «padre» de todo el proceso, podríamos decir que es ProxyLogon, cuya vulnerabilidad normalmente precede al resto.

Espacio del anunciante

Es decir, un ataque sin requerir autenticación y que podría poner cosas como webshell en nuestro servidor de forma rápida. Bastaría con utilizar el puerto de escucha HTTPS (TCP 443) y que este estuviera abierto, como ocurre obviamente por defecto.

Al menos 10 actores maliciosos, entre los que se intuyen algún que otro estado (China/Hafnium), están ya utilizando estos exploits para atacar diferentes empresas. ProxyLogon comenzó a utilizarse como ataque a principios de año, pero no ha sido fácil para Microsoft ponerse de acuerdo con las partes afectadas, sin dar una respuesta prematura que no cerrase el problema de forma definitiva.

Tras la pista de los ataques ProxyLogon en servidores Microsoft Exchange |  Arkavia Networks News

Entradas relacionadas

Dejar un Comentario