Debido a vulnerabilidades de seguridad zero-day para Microsoft Exchance Server, entre otras, existe la amenaza de una nueva oleada de ataques a servidores Microsoft Exchange sin parchear. A continuación encontrarás más información de contexto y información sobre cómo afrontar el ataque.
¿Qué ha pasado?
El 9 de noviembre de 2021 se lanzaron 55 parches para Microsoft, de los cuales seis son críticos. En febrero y marzo, los atacantes explotaron vulnerabilidades de día cero en los servidores de Microsoft Exchange para acceder a ellos. Actualmente, se han descubierto de nuevo dos vulnerabilidades zero-day, una de ellas para Microsoft Exchange Server.
La vulnerabilidad zero-day CVE-2021-42321 se encuentra en los servidores de Microsoft Exchange y requiere acción inmediata, ya que ya está siendo explotada activamente por los atacantes. El equipo de ciberseguridad de Perseus recomienda encarecidamente que instales los parches de seguridad disponibles de inmediato.
La vulnerabilidad CVE-2021-42292 permite saltarse las funciones de seguridad en Microsoft Excel versiones 2013-2021. Por tanto, los atacantes podían instalar código malicioso. Todo lo que tienes que hacer es conseguir que los usuarios descarguen archivos Excel manipulados, por ejemplo, a través de correos electrónicos de phishing.
CVE-2021-42321: Por expertos para expertos
La vulnerabilidad de día cero CVE-2021-42321 es una vulnerabilidad crítica de ejecución remota de código (RCE) en Exchange Server causada por problemas con la validación de los argumentos de commandlet (cmdlet), es decir, comandos ligeros utilizados en el entorno PowerShell. Son invocados por el entorno de ejecución de PowerShell en el contexto de scripts de automatización desplegados desde la línea de comandos o invocados programáticamente por el entorno de ejecución de PowerShell a través de APIs.
¿Cuáles son los peligros para tu empresa?
Las vulnerabilidades ya están siendo explotadas por ciberdelincuentes. Permiten a los atacantes implantar webshells y ejecutar comandos a distancia, en resumen: ejecutar comandos activamente en los ordenadores comprometidos para instalar malware o ransomware y espiar datos sensibles. Por ejemplo, los correos de respuesta se envían desde cuentas personales que contienen enlaces maliciosos.
¿Qué puedo hacer?
