Blog

ProxyShell, El nuevo RCE en Microsoft Exchange (Versión LatAm)

ACTUALIZACIÓN (12/08): La explotación masiva de Proxyshell ha comenzado hoy 12 de Agosto, los atacantes están creando Webshells (backdoors) en los servidores no parchados para el acceso posterior, igual como ocurrió con ProxyLogon. Créditos a Kevin Beaumont.

Rich Warren, también compartió un registro de los logs de IIS en una explotación exitosa de ProxyShell.

Resumen Ejecutivo

La siguiente alerta de seguridad, se extiende a organizaciones que mantengan servidores Microsoft Exchange expuestos a Internet, se han detectado ataques activos a esta plataforma luego de que se conocieran detalles sobre un fallo de seguridad crítico.

ProxyShell es el nombre que se le ha dado a la ejecución de tres vulnerabilidades en la plataforma Microsoft Exchange, que al ser encadenadas, permiten la ejecución de código remoto no autenticado en el servidor.

Las vulnerabilidades fueron asignadas como:

  • CVE-2021-34473 – Pre-auth Path Confusion leads to ACL Bypass (Parche desde April – KB5001779)
  • CVE-2021-34523 – Elevation of Privilege on Exchange PowerShell Backend (Parche desde Abril – KB5001779)
  • CVE-2021-31207 – Post-auth Arbitrary-File-Write leads to RCE (Parche desde – KB5003435)

Las versiones vulnerables son:

  • Microsoft Exchange Server 2019.
  • Microsoft Exchange Server 2016.
  • Microsoft Exchange Server 2013.

Orange Tsai, investigador principal de la consultora DEVCORE en Taiwan, presentó los detalles técnicos de ProxyShell y otras vulnerabilidades de Exchange en las conferencias de ciberseguridad BlackHat y DEFCON la semana pasada.

Además, el equipo de DEVCORE usó el exploit ProxyShell en el concurso de Pwn2Own de 2021, para tomar control sobre un servidor Exchange, lo que les valió una recompensa de USD $200,000. Sin embargo, los detalles del exploit se informaron de forma privada al proveedor en ese momento y no se hicieron públicos.

ProxyShell pareciera ser el sucesor de ProxyLogon, otra vulnerabilidad crítica reportada por Orange Tsai y que termino siendo ampliamente explotadas tanto por ciberdelincuentes con fines de lucro (como grupos de ransomware, criptomonería, malware y ciberespionaje entre otros) como por actores de amenaza patrocinados por el estado.

Sin ir más lejos, en una investigación realizada en Marzo de 2021 por el equipo de Cyber Threat Intelligence de CronUp, se identificaron más de 460 organizaciones comprometidas a través de ProxyLogon en Latinoamérica, incluídos bancos, empresas de telecomunicaciones, sitios de gobierno, etc).

En aquella ocasión, 36 organizaciones en Chile fueron comprometidas a través de ProxyLogon, en estos eventos, los atacantes lograron explotar la vulnerabilidad con éxito para exfiltrar la agenda de contactos del servidor de correo e instalar un backdoor para el acceso posterior y la ejecución remota de comandos.

De los servidores comprometidos en Chile, 20 fueron reportados directamente al CSIRT de Gobierno, el resto de organizaciones fueron alertadas de manera directa a través de nuestro servicio de Alerta Temprana de Riesgos.

Hoy en Latinoamérica, tenemos más de 4.400 servidores Microsoft Exchange expuestos a Internet.

  • Brasil: 1445
  • Argentina: 669
  • México: 657
  • Chile: 352
  • Colombia: 215
  • Perú: 214
  • Venezuela: 166
  • Ecuador: 128
  • Uruguay: 121
  • Bolivia:102
  • Puerto Rico: 101
  • Paraguay: 100
  • Panamá: 85
  • Honduras: 67

En estos momentos, nuestra plataforma indica que 1.116 de 4.400 servidores Microsoft Exchange en Latinoamérica, aún son vulnerables a ProxyShell, lo que corresponde al 25,36%.

🚨 En Chile, 90 servidores Microsoft Exchange aún son vulnerables a ProxyShell, lo que podría permitir a un atacante lograr el acceso inicial a la red corporativa. Deben parchar lo más pronto posible.

Recomendaciones de Seguridad

– Siga las recomendaciones de mitigación ofrecidas por Microsoft e instale los parches de seguridad disponibles desde:

Más Información:

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad