Esencialmente, si los atacantes pudieran alcanzar tus servidores de Microsoft Exchange, podrían ejecutar múltiples exploits, tomar el control de los servidores y utilizarlos para desplazarse lateralmente por la infraestructura.
Es un total de 4 exploits, activamente utilizados para ataques a día de hoy. Además de los 4 ya mencionados al comienzo, Microsoft ha identificado otros 3 que todavía no han sido usados en ciberataques. La lista quedaría así.
| ID | DESCRIPCION | EXPLOTADO |
|---|---|---|
| CVE-2021-26855 | Ejecución remota de código con SSRF (Server Side Request Forgery) | Sí |
| CVE-2021-26857 | Ejecución remota de código (deserialización insegura en Unified Messaging Service) | Sí |
| CVE-2021-26858 | Ejecución remota de código (vulnerabilidad que otorga acceso de escritura) | Sí |
| CVE-2021-27065 | Ejecución remota de código (vulnerabilidad que otorga acceso de escritura) | Sí |
| CVE-2021-26412 | Ejecución remota de código | No |
| CVE-2021-26854 | Ejecución remota de código | No |
| CVE-2021-27078 | Ejecución remota de código | No |
CVE-2021-26855 aka ProxyLogon
Pero si hay un «padre» de todo el proceso, podríamos decir que es ProxyLogon, cuya vulnerabilidad normalmente precede al resto.
Es decir, un ataque sin requerir autenticación y que podría poner cosas como webshell en nuestro servidor de forma rápida. Bastaría con utilizar el puerto de escucha HTTPS (TCP 443) y que este estuviera abierto, como ocurre obviamente por defecto.
Al menos 10 actores maliciosos, entre los que se intuyen algún que otro estado (China/Hafnium), están ya utilizando estos exploits para atacar diferentes empresas. ProxyLogon comenzó a utilizarse como ataque a principios de año, pero no ha sido fácil para Microsoft ponerse de acuerdo con las partes afectadas, sin dar una respuesta prematura que no cerrase el problema de forma definitiva.
Leave a Reply