Microsoft Exchange Server como High Value Target: Parchear es la mejor defensa

"Este año ha sido marcado por diversos conjuntos de vulnerabilidades contra Microsoft Exchange Servers, que han activado todos los mecanismos de alertas a nivel global."

La inclinación evidenciada en el Panorama de Ciberinteligencia contra la explotación activa de Microsoft Exchange Server ha domostrado que es un objetivo de alto valor (High Value Target: HVT) entendiendo que su compromiso puede darle a un ciberatacante acceso a información empresarial valiosa, desencadenando una posible disrupción en sus procesos de negocio.

¿Qué ha ocurrido en 2021?

Si bien el recuento total de vulnerabilidades parcheadas por Microsoft mes a mes ha sido menor en comparación con 2020, este año hemos evidenciado mayor explotación de las ellas; siendo uno de los focos principales aquellas que afectan a servidores de MS Exchange, entre las que destacan los conjuntos de vulnerabilidades nombradas como: Proxylogon, Proxyoracle y Proxyshell.

¿Cuál es el teatro de operaciones en LATAM?

- Aún existen más de 850 servidores vulnerables a Proxylogon en Latinoamérica, ~49 en Chile.
- Aún existen más de 2.800 servidores vulnerables a Proxyshell en Latinoamérica, ~170 en Chile.

Como es costumbre, Microsoft ha publicado mensualmente diversos parches de seguridad para sus aplicativos, no obstante, a nivel global se ha logrado evidenciar lo que hemos predicho durante los últimos años:

1. Entendiendo que menos del 17% de las vulnerabilidades se corrigen dentro de los 7 días posteriores a la notificación por parte de las marcas, nos gustaría recalcar que si las organizaciones continúan con políticas de parcheado inmaduras u obsoletas y no dan prioridad a estos procesos de seguridad, continuaremos evidenciando organizaciones sin la capacidad de solventar las operaciones de sus negocios por presentar disrupciones en sus quehaceres, lo cual en algunos casos puede llevarlas a desaparecer.
    
2. Lamentablemente, las estadísticas han demostrado un escenario favorable para la facilidad de explotación de los sistemas en Chile. Menos del 39% de las empresas tienen políticas maduras para el parcheado de su infraestructura. Por este motivo, es clave para las empresas proteger adecuadamente estos servidores.

¿Qué gatilló las alertas a nivel global?

Al igual que con proxylogon a principios de marzo, el investigador de seguridad de DEVCORE "Orange Tsai", reveló detalles técnicos muy esperados relacionados con la explotación de Microsoft Exchange en las conferencias de ciberseguridad de Black Hat/DEFCON 2021 en Estados Unidos, realizada entre el 31 de julio y el 5 de agosto.

Tsai descubrió en enero, según lo que él comenta, lo que "podría ser la vulnerabilidad más grave en la historia de Microsoft Exchange": Proxylogon. Un conjunto de cuatro fallas de día cero cuya explotación evidenció cientos de miles de servidores de MS Exchange vulnerables y comprometidos en todo el mundo.

Después de profundizar en el error, Tsai se dio cuenta de que “Proxylogon no era solo un error, sino una superficie de ataque completamente nueva", descubriendo nuevas vulnerabilidades, que incluyen errores criptográficos del lado del servidor y del lado del cliente. Los investigadores se centraron en el servicio de acceso de cliente (CAS) de Exchange y los resultados dieron a conocer cadenas de ejecución de código remoto (RCE) de preautorización conocidas como ProxyLogon, ProxyShell, CVE-2021-33768, CVE-2021-31206 y ProxyOracle, un combo de recuperación de contraseña de texto sin formato cuya explotación exitosa podría resultar en que un atacante vea contraseñas de texto sin formato y ejecute código arbitrario en instancias de Microsoft Exchange Server a través del puerto 443.

Microsoft lanzó cuatro actualizaciones de seguridad fuera de lo acostumbrado el 2 de marzo de 2021. Las actualizaciones consideraban cuatro vulnerabilidades graves, que combinadas permiten acceso completo al servidor:

• CVE-2021-26855
• CVE-2021-26857
• CVE-2021-26858
• CVE-2021-27065

Ciclo de vida del ataque Proxylogon

Estas vulnerabilidades afectaron a más de 85.000 entidades de distintas industrias, quienes poco a poco lograron parchear y minimizar su brecha de seguridad.

Más de 200 IP se mantenían vulnerables a nivel nacional al 19 de marzo después de que Microsoft publicó una actualización urgente y fuera de ciclo para ProxyLogon el 2 de marzo (17 días antes). Actualmente en Chile aún hay alrededor de ~49 IP vulnerables expuestas a Internet.

Un combo de recuperación de contraseña en texto plano, cuya explotación exitosa podría resultar en que un atacante capture contraseñas y ejecute código arbitrario en instancias de Microsoft Exchange Server a través del puerto 443.

ProxyOracle es un exploit interesante con un enfoque diferente. Con solo llevar a un usuario a visitar un enlace malicioso, ProxyOracle permite que un atacante recupere la contraseña del usuario en formato de texto sin formato por completo. ProxyOracle consta de dos vulnerabilidades:

• CVE-2021-31195 : secuencias de comandos entre sitios reflejadas, vulnerabilidad publicada en el Patch Tuesday de mayo 2021.
• CVE-2021-31196 : Ataque de relleno de Oracle al análisis de cookies de Exchange, vulnerabilidad publicada en el Patch Tuesday de Julio 2021.

Un conjunto de vulnerabilidades que afectan a los servidores Microsoft Exchange llamadas en su conjunto proxyshell, a las que además se le ha sumado CVE-2021-31206 evidenciada su utilización como complemento a la explotación.

• CVE-2021-34473
• CVE-2021-34523
• CVE-2021-31207
• CVE-2021-31206 (complemento a la explotación)

Ciclo de vida de la explotación de Proxyshell

Aún cuando las últimas soluciones a Proxyshell fueron publicadas en julio, en agosto aún se mantienen servidores vulnerables a nivel nacional.

Recomendaciones del investigador Devcore

Para protegerse contra ataques, Tsai aconsejó a los usuarios de Microsoft Exchange que mantuvieran sus sistemas actualizados y se aseguren de no estar conectados a Internet.

Las mejoras en la interfaz CAS implementadas por Microsoft en abril de 2021, agregó, mitigaron la parte de autenticación de la superficie de ataque y anularon los ataques previos a la autenticación. Debido a que "los problemas modernos requieren soluciones modernas", Tsai aconsejó a los profesionales de la seguridad de la información en sus comentarios finales que "intenten comprender las arquitecturas desde un punto de vista superior".

Y a pesar de los parches y las mitigaciones introducidas por Microsoft, CAS sigue siendo una superficie de ataque con grandes promesas, aunque sin errores previos a la autenticación, los resultados serán menos poderosos que los logrados con las vulnerabilidades previamente descritas.

Para muchas organizaciones, la gestión de las vulnerabilidades es un reto muy importante, por su desconocimiento de qué parches deben priorizar o qué vulnerabilidades son las más críticas, para lo cual nuestro equipo de especialistas de Entel CyberSecure siempre están dispuestos a proveer información oportuna:

Build numbers y fechas de lanzamiento de actualizaciones para Exchange Servers

Las principales versiones de Exchange enumeran los números de compilación para cada Service Pack (SP), Actualización acumulativa (CU), Actualización de seguridad (SU) o Paquete acumulativo de actualizaciones (RU) de la versión de Exchange específica.

* CU = Cumulative Updates. Cada CU es una instalación completa de Exchange que incluye todas las actualizaciones y cambios de las CU anteriores.

Exchange sigue un modelo de entrega trimestral para lanzar actualizaciones acumulativas (CU) que abordan los problemas informados por los clientes. Las CU a veces también agregan nuevas características y funcionalidades.

La tabla de esta sección proporciona los últimos números de compilación y fechas de lanzamiento generales para cada versión de Microsoft Exchange Server.

Exchange Server 2019

 

Exchange Server 2016

 

Exchange Server 2013

 

Exchange Server 2010 (sin soporte desde 13 de octubre de 2020)

Para mayor información dejamos la referencia oficial de Microsoft: “build numbers y fechas de lanzamiento de Exchange Server Updates”.

Fin de soporte

La mayoría de los productos de Microsoft tienen un ciclo de vida de soporte, durante el cual obtienen nuevas funciones, correcciones de errores, correcciones de seguridad, etc. Este ciclo de vida suele durar 10 años desde el lanzamiento inicial del producto. El final de este ciclo de vida se conoce como el final del soporte del producto.

Debido a que Exchange 2010 llegó a su fin de soporte el 13 de octubre de 2020, Microsoft ya no ofrece:
[más detalles en el sitio oficial de Microsoft]

• Soporte técnico para problemas que puedan surgir.
• Corrección de errores para problemas que pueden afectar la estabilidad y la usabilidad del servidor.
• Correcciones de seguridad para vulnerabilidades que pueden hacer que el servidor sea vulnerable a violaciones de seguridad.
• Actualizaciones de zona horaria.

Cabe destacar que se mantiene un seguimiento/monitoreo del impacto que esto ha ocasionado a nivel nacional, teniendo en cuenta que la explotación inicial comienza con el análisis de sistemas vulnerables, aún se pueden encontrar servidores no parcheados en internet. Como lo hemos alertado, los ataques aprovechando el exploit Proxyshell por parte de ciberactores irá en aumento, ha esto podemos agregar que se ha evidenciando un grupo de ransomware denominado LockFile, que ha estado aprovechado estos exploits recientemente publicados con el objetivo de comprometer a las redes de las organizaciones que actualmente tengan Microsoft Exchange sin la debida actualizacion.

Es importante destacar que los ciberdelincuentes han demostrado tener la suficiente capacidad de adaptación a las nuevas vulnerabilidades publicadas, por mencionar algunas como PrintNightmare, PetitPotam junto con las de Exchange, adaptándolas rápidamente para convertirlas en exploits, por lo que esperamos la aparición de nuevos ciberactores en búsqueda de servidores expuestos en el dominio público.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.