{"id":24847,"date":"2021-03-10T12:43:53","date_gmt":"2021-03-10T10:43:53","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=24847"},"modified":"2021-03-10T12:43:53","modified_gmt":"2021-03-10T10:43:53","slug":"exchange-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/exchange-vulnerabilities\/24847\/","title":{"rendered":"MS Exchange Server y la explotaci\u00f3n masiva de sus vulnerabilidades"},"content":{"rendered":"<p>Microsoft ha lanzado parches fuera de la periodicidad habitual para varias vulnerabilidades de Exchange Server. De acuerdo con la empresa, cuatro de estas vulnerabilidades ya se est\u00e1n usando en ataques dirigidos, por lo que ser\u00eda prudente <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">instalar los parches lo antes posible<\/a>.<\/p>\n<h2>\u00bfCu\u00e1les son los riesgos?<\/h2>\n<p>Las cuatro vulnerabilidades m\u00e1s peligrosas que ya se est\u00e1n explotando permiten que los atacantes pongan en marcha un ataque de tres fases. Primero, acceden a un servidor de Exchange, despu\u00e9s crean un <em>web shell<\/em> para acceder en remoto al servidor y, por \u00faltimo, utilizan ese acceso para robar los datos de la red de la v\u00edctima. Las vulnerabilidades son:<\/p>\n<ul>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26855\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26855<\/a>: puede usarse para un ataque de <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/server-side-request-forgery-ssrf\/\" target=\"_blank\" rel=\"noopener\">falsificaci\u00f3n de solicitud del lado del servidor<\/a>, lo que genera un c\u00f3digo de ejecuci\u00f3n remoto.<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26857\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26857<\/a>: puede utilizarse para ejecutar c\u00f3digos arbitrarios de parte del sistema (aunque requiere permisos de administrador o haber explotado la vulnerabilidad anterior).<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26858\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26858<\/a> y <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-27065\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-27065<\/a>: el atacante puede utilizarlas para sobrescribir los archivos del servidor.<\/li>\n<\/ul>\n<p>Los ciberdelincuentes utilizan las cuatro vulnerabilidades en conjunto; sin embargo, de acuerdo con Microsoft, en lugar de un ataque inicial, a veces utilizan credenciales robadas y se autentifican a s\u00ed mismos en el servidor sin utilizar la vulnerabilidad CVE-2021-26855.<\/p>\n<p>Adem\u00e1s, el mismo parche pone soluci\u00f3n a otras vulnerabilidades menores en Exchange que no est\u00e1n (hasta donde sabemos) relacionadas directamente con los ataques dirigidos activos.<\/p>\n<h2>\u00bfQui\u00e9n est\u00e1 en peligro?<\/h2>\n<p>Estas vulnerabilidades no afectan a la versi\u00f3n en la nube de Exchange; solo son una amenaza para los servidores instalados dentro de la infraestructura. En un principio, Microsoft lanz\u00f3 <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">actualizaciones<\/a> para Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 y Microsoft Exchange Server 2019, y una actualizaci\u00f3n de \u201c<em>Defense in Depth<\/em>\u201d adicional para Microsoft Exchange Server 2010. Sin embargo, debido a la gravedad de la situaci\u00f3n, tambi\u00e9n <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/march-2021-exchange-server-security-updates-for-older-cumulative\/ba-p\/2192020\" target=\"_blank\" rel=\"noopener nofollow\">agregaron despu\u00e9s soluciones<\/a> para servidores de Exchange obsoletos.<\/p>\n<p>De acuerdo con los <a href=\"https:\/\/blogs.microsoft.com\/on-the-issues\/2021\/03\/02\/new-nation-state-cyberattacks\/\" target=\"_blank\" rel=\"noopener nofollow\">investigadores<\/a> de Microsoft, fueron los atacantes del grupo Hafnium quienes aprovecharon estas vulnerabilidades para robar informaci\u00f3n confidencial. Entre sus objetivos se incluyen empresas industriales, investigadores de enfermedades infecciosas, bufetes de abogados, organizaciones sin \u00e1nimo de lucro y analistas pol\u00edticos de los Estados Unidos. Se desconoce el n\u00famero exacto de v\u00edctimas, pero <a href=\"https:\/\/krebsonsecurity.com\/2021\/03\/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software\/\" target=\"_blank\" rel=\"noopener nofollow\">de acuerdo con las fuentes de KrebsOnSecurity<\/a>, al menos 30000 organizaciones de los Estados Unidos, incluidas peque\u00f1as empresas, administraciones y gobiernos locales, se han visto atacadas por estas vulnerabilidades. Nuestros expertos han descubierto que no solo las organizaciones estadounidenses est\u00e1n en peligro: los ciberdelincuentes de todo el mundo est\u00e1n usando estas vulnerabilidades. Puedes encontrar m\u00e1s informaci\u00f3n sobre la geograf\u00eda del ataque en <a href=\"https:\/\/securelist.com\/zero-day-vulnerabilities-in-microsoft-exchange-server\/101096\/\" target=\"_blank\" rel=\"noopener\">esta publicaci\u00f3n de Securelist<\/a>.<\/p>\n<h2>\u00bfC\u00f3mo mantenerse a salvo de los ataques en MS Exchange<\/h2>\n<ul>\n<li>En primer lugar, <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">parchea<\/a> tu instalaci\u00f3n de Microsoft Exchange Server. Si tu empresa no puede instalar actualizaciones, Microsoft recomienda m\u00faltiples <a href=\"https:\/\/msrc-blog.microsoft.com\/2021\/03\/05\/microsoft-exchange-server-vulnerabilities-mitigations-march-2021\/\" target=\"_blank\" rel=\"noopener nofollow\">soluciones<\/a>.<\/li>\n<li>De acuerdo con Microsoft, denegar los intentos de acceso sospechosos al servidor de Exchange en el puerto 443 o, en general, limitar las conexiones desde fuera de la red corporativa puede detener la fase inicial del ataque. Pero esto no ser\u00e1 \u00fatil si los atacantes ya est\u00e1n dentro de la infraestructura o si logran que un usuario con permisos de administrador ejecute un archivo malicioso.<\/li>\n<li>Una soluci\u00f3n de tipo <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/threat-management-defense-solution?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____tmd___\" target=\"_blank\" rel=\"noopener\">Endpoint Detection and Response<\/a> (si cuentas con expertos internos) o expertos externos en servicios de Managed Detection and Response pueden detectar este comportamiento malicioso.<\/li>\n<li>Recuerda siempre que todos los ordenadores conectados a Internet, por medio de un servidor o estaci\u00f3n de trabajo, necesitan una <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluci\u00f3n de seguridad para endpoints de confianza<\/a>\u00a0para evitar <em>exploits<\/em> y detectar de forma proactiva el comportamiento malicioso.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>Los atacantes aprovechan cuatro vulnerabilidades peligrosas en Microsoft Exchange para establecerse en la red corporativa.<\/p>\n","protected":false},"author":2581,"featured_media":24849,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[3259,30,875,784],"class_list":{"0":"post-24847","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-exchange","11":"tag-microsoft","12":"tag-parches","13":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/exchange-vulnerabilities\/24847\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/exchange-vulnerabilities\/22592\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/exchange-vulnerabilities\/18085\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/exchange-vulnerabilities\/24317\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/exchange-vulnerabilities\/22385\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/exchange-vulnerabilities\/21250\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/exchange-vulnerabilities\/24085\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/exchange-vulnerabilities\/30228\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/exchange-vulnerabilities\/9406\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/exchange-vulnerabilities\/38964\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/exchange-vulnerabilities\/16505\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/exchange-vulnerabilities\/17104\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/exchange-vulnerabilities\/14553\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/exchange-vulnerabilities\/26321\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/exchange-vulnerabilities\/30177\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/exchange-vulnerabilities\/26768\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/exchange-vulnerabilities\/23631\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/exchange-vulnerabilities\/28972\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/exchange-vulnerabilities\/28781\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/24847","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=24847"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/24847\/revisions"}],"predecessor-version":[{"id":24854,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/24847\/revisions\/24854"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/24849"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=24847"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=24847"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=24847"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}