Exploit PoC lanzado para el error de Microsoft Exchange descubierto por la NSA

La documentación técnica y el código de explotación de prueba de concepto (PoC) están disponibles para una vulnerabilidad de alta gravedad en Microsoft Exchange Server que podría permitir a atacantes remotos ejecutar código en máquinas sin parches.

La falla es para uno de los cuatro que la Agencia de Seguridad Nacional (NSA) informó a Microsoft y recibió una solución en abril.

A pesar de ser el menos severo del grupo y requerir autenticación, el riesgo que CVE-2021-28482 representa para las empresas no debe pasarse por alto.

Código de explotación de PoC válido

Un informe técnico está disponible a partir del 26 de abril del investigador de seguridad. Nguyen Jang, que lanzó un exploit PoC de corta duración para vulnerabilidades de ProxyLogon en el pasado.

De Jang entrada en el blog, aunque en vietnamita, no debería representar un desafío para comprender los detalles técnicos para lograr la ejecución remota de código en un entorno de Exchange Server autenticado.

Ayer, el investigador también publicó en GitHub exploit de demostración para CVE-2021-28482 escrito en Python. Will Dormann, analista de vulnerabilidades de CERT / CC, confirmó la validez del código.

Dormann señala que los atacantes pueden aprovechar esta vulnerabilidad de deserialización si están autenticados en una instancia de Exchange Server local que no ejecuta las actualizaciones de abril de Microsoft.

Entre las vulnerabilidades de ProxyLogon explotadas desde principios de año, meses antes de que Microsoft lanzara un parche y el conjunto informado por la NSA, las empresas se apresuraron a actualizar sus servidores Exchange a un ritmo increíblemente rápido.

La alta frecuencia de parches y la necesidad de autenticación reducen el riesgo de compromiso, pero no lo eliminan.

"Pero si alguien TODAVÍA no instaló los parches de Exchange de abril, si puede imaginarse la posibilidad de un atacante AUTENTICADO, suponga que usó CVE-2021-28482" - Will Dormann

El analista de vulnerabilidades le dijo a BleepingComputer que si bien este error no es tan grave como ProxyLogon, ya que no permite el escaneo o la explotación masiva, existe un escenario de la vida real para explotarlo:

Sin embargo, cualquier instancia de Exchange en la que un solo usuario tenga una contraseña filtrada o cualquier organización que tenga una sola persona interna maliciosa o incluso esté comprometida está en riesgo si no ha instalado la actualización de Exchange de abril.

La explotación masiva de una vulnerabilidad no autenticada que conduce a la ejecución remota de código debería ser la motivación más poderosa para que una empresa instale los últimos parches para Exchange Server.

Dormann dijo que cualquiera que ejecute máquinas en las instalaciones sin las actualizaciones de abril de Microsoft "tiene problemas", incluso más si el servidor está expuesto a la Internet pública.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir