Vulnerabilidad de Microsoft Exchange (ECP) explotada en ataques APT

10 Marzo 2020
Alto

Se ha evidenciado que diversos grupos de APT están explotando activamente una vulnerabilidad en los servidores de Microsoft Exchange, permitiendo a un atacante autenticado, ejecutar código de forma remota con privilegios del sistema.

En Febrero 11 del 2020, como parte del parcheado de los martes de Microsoft (Patch Tuesday) se lanzó una actualización a los servidores Exchange catalogada con CVE-2020-0688.

Esta vulnerabilidad es posible si se cumplen los siguientes requisitos:

  • El servidor Exchange no se ha parcheado desde Febrero 11, 2020.
  • La interfaz del Panel de Control Exchange (ECP) se encuentra accesible para algún atacante.
  • Que el atacante cuente con credenciales válidas del Panel de Control Exchange  que le permitan recopilar los valores del campo ViewStateKey desde una cookie de sesión autenticada, así como el valor _VIEWSTATEGENERATOR desde un campo oculto en el código fuente de la página. La credencial extraída por el atacante no necesita tener privilegios altos o tener acceso al ECP.

Una vez teniendo acceso a los sistemas comprometidos, el atacante podría ejecutar código .NET en el servidor vulnerable como usuario SYSTEM.

Reportes de los investigadores de amenazas Volexity han observado que grupos APT se encuentran explotando dicha vulnerabilidad incluso utilizando métodos de fuerza bruta para extraer credenciales válidas de estos servidores.

Se recomienda lo siguiente:

  • Aplicar la actualización entregada por Microsoft que soluciona la vulnerabilidad CVE-2020-0688.
  • Implementar políticas restrictivas para el intento de conexión fallido de credenciales.
  • Verificar que los registros de ingreso no presenten evidencias de intentos inicio de sesión a través de fuerza bruta.
  • Validar que exista Autentificación Multi Factor (MFA Multi-Factor Authentication).
  • Políticas de ingreso de usuarios que restrinjan:
    •  La posibilidad de tener la misma sesión conectada desde dos o más dispositivos al mismo tiempo.
    • El intento máximo de inicios de sesión por IP y nombre de usuario.
    •  El tiempo activo de la sesión.
  • Asegurarse que los software de antivirus instalados y sus archivos asociados estén actualizados a la fecha.

El listado de las CVE se adjunta a continuación:


Tags: #MicrosoftExchange #APT #Vulnerabilidad


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.