Protección del WAF de última generación ante las recientes vulnerabilidades de Microsoft Exchange
Protegemos a nuestros clientes
Nuestro personal de investigación de seguridad ha desarrollado y desplegado una regla para proteger a los clientes del WAF de última generación de Signal Sciences de Fastly ante las vulnerabilidades de Microsoft Exchange Server anunciadas recientemente. Esta regla personalizada está disponible en la consola, en el apartado de «Templated Rules» (reglas de plantilla).
Recomendamos encarecidamente que los clientes que utilizan el WAF de última generación de Signal Sciences delante de sus servidores de Microsoft Exchange habiliten esta regla lo antes posible y la configuren para bloquear peticiones si se observa la señal. También recomendamos seguir todas las indicaciones de Microsoft para resolver las vulnerabilidades en los sistemas afectados. Se están explotando dichas vulnerabilidades a nivel mundial, con un impacto significativo.
Revisión de sistemas de Microsoft Exchange
Estamos observando un aumento significativo de intentos de aprovechamiento de estas vulnerabilidades. Hay novedades a diario y nuestro personal trabaja sin descanso para asegurarse de que las reglas estén al día, pero esta no debería ser tu única línea de defensa. Recomendamos encarecidamente aplicar revisiones en los sistemas afectados, ejecutar protocolos de respuesta ante incidentes y seguir las recomendaciones de Microsoft.
Cadena de aprovechamiento de las vulnerabilidades
Los ataques observados en los sistemas de Microsoft Exchange combinan múltiples vulnerabilidades y exposiciones comunes (CVE) para llevar a cabo el ataque. El impacto de estos ataques varía, pero puede suponer desde la apropiación por completo del sistema mediante la ejecución remota de código (RCE) hasta la filtración de la bandeja de entrada del correo electrónico. A un nivel alto, la cadena de aprovechamiento de las vulnerabilidades sigue el siguiente esquema:
Una vulnerabilidad de falsificación de peticiones del lado del servidor (SSRF) en Microsoft Exchange Server, identificada como CVE-2021-26855, permite a los atacantes enviar peticiones HTTP al servidor de Exchange expuesto y acceder a otros puntos de conexión haciéndose pasar por el propio servidor de Exchange. Este paso no autenticado del ataque hace que sea muy fácil aprovechar la vulnerabilidad.
Una vulnerabilidad de deserialización no segura identificada por CVE-2021-26857 aprovecha la autenticación a nivel de SYSTEM obtenida por el mencionado ataque de SSRF para enviar cargas útiles SOAP elaboradas especialmente y deserializadas de manera no segura por el servicio de mensajería unificada. Así, el atacante puede ejecutar código haciéndose pasar por SYSTEM en el servidor de Exchange.
Después de sacar rédito de CVE-2021-26855, los atacantes pueden aprovechar CVE-2021-27065 y CVE-2021-26858 para escribir archivos arbitrarios dirigidos al servidor de Exchange en cualquier ruta. Este código que carga el atacante se ejecuta como SYSTEM en el servidor. Estas vulnerabilidades permiten realizar ataques de movimientos laterales, implantación de malware, pérdida de datos y elevación, entre otros.
Al habilitar la regla de plantilla del WAF de última generación de Signal Sciences, se impide el primer paso de la cadena de aprovechamiento de las vulnerabilidades. Si quieres ir más allá en el análisis técnico de esta cadena de ataques, lee esta entrada de nuestros compañeros de Praetorian. Para habilitar la regla de plantilla, consulta la información sobre habilitación de reglas de plantilla que encontrarás en nuestra documentación.