Protección del WAF de última generación ante las recientes vulnerabilidades de Microsoft Exchange

Protegemos a nuestros clientes

Nuestro personal de investigación de seguridad ha desarrollado y desplegado una regla para proteger a los clientes del WAF de última generación de Signal Sciences de Fastly ante las vulnerabilidades de Microsoft Exchange Server anunciadas recientemente. Esta regla personalizada está disponible en la consola, en el apartado de «Templated Rules» (reglas de plantilla). 

New templated rule for Microsoft Exchange systems vulnerability

Recomendamos encarecidamente que los clientes que utilizan el WAF de última generación de Signal Sciences delante de sus servidores de Microsoft Exchange habiliten esta regla lo antes posible y la configuren para bloquear peticiones si se observa la señal. También recomendamos seguir todas las indicaciones de Microsoft para resolver las vulnerabilidades en los sistemas afectados. Se están explotando dichas vulnerabilidades a nivel mundial, con un impacto significativo. 

Revisión de sistemas de Microsoft Exchange 

Estamos observando un aumento significativo de intentos de aprovechamiento de estas vulnerabilidades. Hay novedades a diario y nuestro personal trabaja sin descanso para asegurarse de que las reglas estén al día, pero esta no debería ser tu única línea de defensa. Recomendamos encarecidamente aplicar revisiones en los sistemas afectados, ejecutar protocolos de respuesta ante incidentes y seguir las recomendaciones de Microsoft.  

Cadena de aprovechamiento de las vulnerabilidades

Los ataques observados en los sistemas de Microsoft Exchange combinan múltiples vulnerabilidades y exposiciones comunes (CVE) para llevar a cabo el ataque. El impacto de estos ataques varía, pero puede suponer desde la apropiación por completo del sistema mediante la ejecución remota de código (RCE) hasta la filtración de la bandeja de entrada del correo electrónico. A un nivel alto, la cadena de aprovechamiento de las vulnerabilidades sigue el siguiente esquema:

  1. Una vulnerabilidad de falsificación de peticiones del lado del servidor (SSRF) en Microsoft Exchange Server, identificada como CVE-2021-26855, permite a los atacantes enviar peticiones HTTP al servidor de Exchange expuesto y acceder a otros puntos de conexión haciéndose pasar por el propio servidor de Exchange. Este paso no autenticado del ataque hace que sea muy fácil aprovechar la vulnerabilidad. 

  2. Una vulnerabilidad de deserialización no segura identificada por CVE-2021-26857 aprovecha la autenticación a nivel de SYSTEM obtenida por el mencionado ataque de SSRF para enviar cargas útiles SOAP elaboradas especialmente y deserializadas de manera no segura por el servicio de mensajería unificada. Así, el atacante puede ejecutar código haciéndose pasar por SYSTEM en el servidor de Exchange. 

  3. Después de sacar rédito de CVE-2021-26855, los atacantes pueden aprovechar CVE-2021-27065 y CVE-2021-26858 para escribir archivos arbitrarios dirigidos al servidor de Exchange en cualquier ruta. Este código que carga el atacante se ejecuta como SYSTEM en el servidor. Estas vulnerabilidades permiten realizar ataques de movimientos laterales, implantación de malware, pérdida de datos y elevación, entre otros.

Al habilitar la regla de plantilla del WAF de última generación de Signal Sciences, se impide el primer paso de la cadena de aprovechamiento de las vulnerabilidades. Si quieres ir más allá en el análisis técnico de esta cadena de ataques, lee esta entrada de nuestros compañeros de Praetorian. Para habilitar la regla de plantilla, consulta la información sobre habilitación de reglas de plantilla que encontrarás en nuestra documentación.

Equipo de Security Research de Fastly
Equipo de Security Research de Fastly
Xavier Stevens
Staff Security Researcher
Simran Khalsa
Staff Security Researcher
Fecha de publicación:

3 min de lectura

Comparte esta entrada
Equipo de Security Research de Fastly
Equipo de Security Research de Fastly

El equipo de Security Research de Fastly se encarga de que nuestros clientes cuenten con las herramientas y los datos necesarios para mantener seguros sus sistemas. Analiza los ataques y, en última instancia, ayuda a prevenirlos como solo sabe hacerlo Fastly. El equipo está formado por un grupo de expertos en seguridad que trabaja entre bambalinas para ayudarte a estar en todo momento a la vanguardia del panorama cambiante de la seguridad.

Xavier Stevens
Staff Security Researcher

Xavier Stevens es Staff Security Researcher en Fastly y se centra en la investigación de amenazas, la ingeniería de detección y la innovación en productos.

Simran Khalsa
Staff Security Researcher

Como Staff Security Researcher en Fastly, Simran se centra en la información sobre amenazas, la investigación de vulnerabilidades y la innovación en nuestros productos. Le gusta analizar las tendencias de ataque más novedosas y reforzar las tecnologías para cortar el paso a las amenazas web en el mundo real. A lo largo de su trayectoria, ha ocupado puestos en las líneas ofensivas y defensivas de sectores públicos y privados, siempre con el desarrollo de soluciones modernas de seguridad en mente.

¿List@ para empezar?

Ponte en contacto o crea una cuenta.