Servidores no parcheados de Microsoft Exchange están vulnerables a ataques de ProxyShell

Investigadores advierten que ciberactores están escaneando Internet en busca de tres fallas de seguridad (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) de Microsoft Exchange Server y cuyo conjunto ha sido llamado ProxyShell, estas vulnerabilidades podrían explotarse de forma remota (RCE) en Servidores de Microsoft Exchange sin parches.

Los detalles técnicos del error fueron revelados por el investigador de seguridad de Devcore, Orange Tsai, en la conferencia Black Hat 2021 la semana pasada. Los investigadores habrían descubierto el error en el concurso de piratería Pwn2Own2021 en abril.

ProxyShell

ProxyShell es un conjunto de tres fallas de seguridad (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) que se pueden usar juntas para anular la autenticación de un atacante. A continuación el detalle de cada una:

CVE-2021-31207 Vulnerabilidad de omisión de la función de seguridad de Microsoft Exchange Server 

El error de Microsoft Exchange Server identificado por terceros se aprovecha de una vulnerabilidad de Microsoft Exchange Server preexistente para poder eludir las funciones de seguridad y autenticación. Para esta vulnerabilidad utilizan la red como principal vector de ataque y debido a la complejidad del ataque, el actor de la amenaza necesitará privilegios más altos para abusar de la vulnerabilidad. Esta falla fue parcheada en mayo por Microsoft en KB5003435  y abordada en nuestro boletín de Patch Tuesday de mayo.

CVE-2021-34523 Conduce a la escalada de privilegios del backend de Exchange PowerShell

La vulnerabilidad de elevación de privilegios fue parcheada por Microsoft en Abril en KB5001779, la cual permite a los atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Microsoft Exchange Server. Al igual que CVE-2021-31207, esta falla requiere de autenticación para aprovechar esta vulnerabilidad, sin embargo, el proceso de autenticación existente se puede omitir.

La falla específica existe dentro del servicio Powershell. El problema se debe a la falta de una validación adecuada de un token de acceso antes de ejecutar el comando Exchange PowerShell. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto de SYSTEM.

CVE-2021-34473 Error de confusión de ruta de autenticación previa que puede llevar a la omisión de ACL 

Esta última vulnerabilidad, ha sido clasificada por Microsoft como de "explotación más probable'' y fue parcheada en conjunto a otras vulnerabilidades en abril en KB5001779. Se trata de una falla de escritura de archivo arbitrario posterior a la autenticación que permite a un atacante ejecutar código arbitrario de forma remota en la máquina sin necesidad de autenticación para poder aprovechar esta vulnerabilidad.

CVE-2021-34473 existe dentro del servicio de detección automática y de ser explotada permitiría a los actores de amenazas abusar y omitir el ACL (Access Control List), lista que especifica los permisos de los usuarios sobre un archivo, carpeta u otro objeto y define cuales usuarios y cuales grupos pueden acceder y qué tipo de operaciones pueden realizar una vez dentro. Dado esto, la vulnerabilidad se debe a la falta de una validación adecuada de URI antes de acceder a los recursos.

Productos afectados para el conjunto ProxyShell (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207)

• Microsoft Exchange Server, versiones 2019, 2016 y 2013

Exploit ProxyShell

El equipo de DEVCORE usó el exploit ProxyShell en el concurso de piratería Pwn2Own de 2021 para tomar el control de un servidor Exchange, lo que les valió una recompensa de $ 200,000. Sin embargo, los detalles del exploit se informaron de forma privada al proveedor en ese momento y no se hicieron públicos.

Orange Tsai presentó los detalles técnicos de ProxyShell y otras vulnerabilidades de Exchange en las conferencias de ciberseguridad Black Hat y DEF CON la semana pasada. 

Detalles Tecnicos 

ProxyShell es el nombre de tres vulnerabilidades que realizan la ejecución de código remoto no autenticado en servidores de Microsoft Exchange cuando están encadenados. Estas vulnerabilidades encadenadas se explotan de forma remota a través del Servicio de acceso de cliente (CAS) de Microsoft Exchange que se ejecuta en el puerto 443 de IIS.

El Investigador de seguridad Kevin Beaumont tuiteó que un actor de amenazas estaba probando su honeypot de Microsoft Exchange contra el servicio de detección automática del servidor, por lo que aconsejo a los administradores que utilicen Azure Sentinel para verificar los registros de IIS en busca de las cadenas: 

"/autodiscover/autodiscover.json" o "/ mapi / nspi /".

Si los resultados enumeran la URL de detección automática objetivo, los actores de amenazas escanearon su servidor en busca de la vulnerabilidad.

Panorama

Una vez más somos testigos de que si bien los parches han estado disponibles durante meses, parece que hay muchos servidores de Microsoft Exchange que aún son vulnerables a los ataques de ProxyShell, dejando en evidencia que muchas empresas no mantienen buenas políticas de parcheado, por lo que no sería sorprendente que varios actores de amenazas aprovechen esta falta de conciencia de parcheado para comenzar a explotar estas vulnerabilidades en sus operaciones.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.