Alertas de seguridad

Vulnerabilidad en Microsoft Exchange

Se está presentando una vulnerabilidad de ejecución remota de código Microsoft Exchange en la que el servidor no puede crear correctamente claves únicas en el momento de su instalación.

Vulnerabilidad en Microsoft Exchange

Detalles

La vulnerabilidad es de severidad crítica ya que es de gran atractivo para los actores cibernéticos maliciosos. Un atacante remoto puede aprovechar dicha vulnerabilidad para tomar el control de un sistema afectado que no tiene parches.

La falla CVE-2020-0688 reside en el componente del Panel de control de Exchange (ECP), la causa raíz del problema es que los servidores de Exchange no pueden crear claves únicas correctamente en el momento de la instalación; el conocimiento de una clave de validación permite que un usuario autenticado con un buzón pase objetos arbitrarios para ser deserializados por la aplicación web, que se ejecuta como SYSTEM.

En algunos casos, los atacantes parecen haber estado esperando la oportunidad de atacar con credenciales que de otro modo no habrían servido. Muchas organizaciones emplean la autenticación de dos factores (2FA) para proteger su VPN, correo electrónico, etc., limitando lo que un atacante puede hacer con una contraseña comprometida. Esta vulnerabilidad brinda a los delincuentes la capacidad de obtener acceso a un activo significativo dentro de la organización, con una simple credencial de usuario o una cuenta de servicio anterior. 

Este problema muestra la importancia de cambiar las contraseñas periódicamente como una buena práctica, independientemente de las medidas de seguridad como 2FA.

Recursos afectados

  • Microsoft Exchange 2010
  • Microsoft Exchange 2013
  • Microsoft Exchange 2016
  • Microsoft Exchange 2019

Dentro de las acciones que se pueden realizar con dicha vulnerabilidad se encontraron:

  • Ejecutar comandos del sistema para realizar reconocimientos
  • Implementar la puerta trasera de shell web accesible a través de OWA
  • Ejecutar marcos de post explotación en memoria

Acciones recomendadas

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden descargarse desde la página oficial de Microsoft.

 

Producto 

Artículo

Descarga

Impacto

Gravedad

Sustitución

Paquete acumulativo de actualizaciones 30 de Microsoft Exchange Server 2010 Service Pack 3

4536989

Actualización de seguridad

Ejecución remota de código

Importante

4509410

Actualización acumulativa de Microsoft Exchange Server 2013 23

4536988

Actualización de seguridad

Ejecución remota de código

Importante

4523171

Actualización acumulativa de Microsoft Exchange Server 2016 14

4536987

Actualización de seguridad

Ejecución remota de código

Importante

4523171

Actualización acumulativa de Microsoft Exchange Server 2016 15

4536987

Actualización de seguridad

Ejecución remota de código

Importante

4523171

Actualización acumulativa de Microsoft Exchange Server 2019 3

4536987

Actualización de seguridad

Ejecución remota de código

Importante

4523171

Actualización acumulativa de Microsoft Exchange Server 2019 4

4536987

Actualización de seguridad

Ejecución remota de código

Importante

4523171