Exploit lanzado para el error de Microsoft Exchange RCE

El investigador de seguridad identificado como “Janggggg” publicó un código de explotación de prueba de concepto para una vulnerabilidad explotada activamente rastreada como CVE-2021-42321 en servidores de Microsoft Exchange, la cual Microsoft corrigió durante el martes de parches de este mes.

CVE-2021-42321
Vulnerabilidad de ejecución remota de código de Microsoft Exchange Server

La falla existe debido a la validación incorrecta de los argumentos command-let (cmdlet). Para aprovechar esta vulnerabilidad, un atacante debería estar autenticado en un servidor Exchange vulnerable. 

La vulnerabilidad impacta a las on-premises Exchange Server 2016 y Exchange Server 2019.

Microsoft dice que están al tanto de "ataques dirigidos limitados" que utilizan esta vulnerabilidad en internet. Además, está parece ser la misma vulnerabilidad en Exchange Server que se aprovechó en la Copa Tianfu, un concurso de ciberseguridad chino el mes pasado.

El atacante primero debe autenticarse en el servidor de Exchange, esto significa que cualquier persona que esté en posición de aprovechar la vulnerabilidad CVE-2021-42321 probablemente ya haya iniciado sesión en la red o haya iniciado sesión en la cuenta de correo electrónico de un usuario, lo que al menos descarta los ataques remotos anónimos.

Prueba de concepto (PoC)

El investigador de seguridad “Janggggg”, también conocido como @testanull, ha publicado recientemente un exploit de prueba de concepto (PoC) para el agujero CVE-2021-42321.

Por su propia admisión, su código de ataque (publicado en el sitio GitHub de Microsoft) “simplemente coloca mspaint.exe en el objetivo”, lo que significa que el exploit publicado no puede usarse directamente para ejecutar código arbitrario.

Pero Janggggg también ha proporcionado un enlace a una herramienta de "sombrero gris" que, según él, le ayudará a generar su propio shellcode (código ejecutable disfrazado de datos) que se puede incrustar en el exploit en lugar de simplemente iniciar Microsoft Paint, lo que implica que la PoC se puede adaptar para solicitar otras acciones.

Recomendación de Microsoft

La recomendación de Microsoft para la vulnerabilidad posterior a la autenticación en Exchange 2016 y 2019 es instalar estas actualizaciones de inmediato para proteger su entorno. Lea el anuncio publicado por Microsoft. “Estas vulnerabilidades afectan a Microsoft Exchange Server local, incluidos los servidores utilizados por los clientes en el modo híbrido de Exchange. Los clientes de Exchange Online ya están protegidos y no necesitan realizar ninguna acción ".

Dado que Microsoft Exchange se ha convertido en un objetivo popular para que los actores de amenazas obtengan acceso inicial a las redes de los objetivos, recomendamos encarecidamente mantener los servidores actualizados con los últimos parches de seguridad.

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.