{"id":21250,"date":"2021-03-10T08:48:22","date_gmt":"2021-03-10T14:48:22","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=21250"},"modified":"2021-03-10T08:48:22","modified_gmt":"2021-03-10T14:48:22","slug":"exchange-vulnerabilities","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/exchange-vulnerabilities\/21250\/","title":{"rendered":"MS Exchange Server y la explotaci\u00f3n masiva de sus vulnerabilidades"},"content":{"rendered":"<p>Microsoft lanz\u00f3 parches fuera de banda para varias vulnerabilidades de Exchange Server. Cuatro de estas vulnerabilidades, de acuerdo con la empresa, ya se est\u00e1n usando en ataques dirigidos, por lo que ser\u00eda prudente <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">instalar los parches lo antes posible<\/a>.<\/p>\n<h2>\u00bfCu\u00e1l es el riesgo?<\/h2>\n<p>Las cuatro vulnerabilidades m\u00e1s peligrosas que ya se est\u00e1n explotando permiten que los atacantes pongan en marcha un ataque de tres etapas. Primero, acceden a un servidor de Exchange, despu\u00e9s crean un shell web para acceso remoto al servidor, y, por \u00faltimo, utilizan ese acceso para robar los datos de la red de la v\u00edctima. Las vulnerabilidades son:<\/p>\n<ul>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26855\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26855<\/a>: puede usarse para un ataque de <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/server-side-request-forgery-ssrf\/\" target=\"_blank\" rel=\"noopener\">falsificaci\u00f3n de solicitud del lado del servidor<\/a>, lo que genera un c\u00f3digo de ejecuci\u00f3n remoto;<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26857\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26857<\/a>: puede utilizarse para ejecutar c\u00f3digos arbitrarios de parte del sistema (aunque requiere permisos de administrador o haber explotado la vulnerabilidad anterior);<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26858\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26858<\/a> y <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-27065\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-27065<\/a>: el atacante puede utilizarlas para sobrescribir los archivos en el servidor.<\/li>\n<\/ul>\n<p>Los cibercriminales utilizan las cuatro vulnerabilidades en conjunto; sin embargo, de acuerdo con Microsoft, en lugar de un ataque inicial, a veces utilizan credenciales robadas y se autentican a s\u00ed mismos en el servidor sin utilizar la vulnerabilidad CVE-2021-26855.<\/p>\n<p>Adem\u00e1s, el mismo parche arregla otras vulnerabilidades menores en Exchange que no est\u00e1n (hasta donde sabemos) relacionadas directamente con los ataques dirigidos activos.<\/p>\n<h2>\u00bfQui\u00e9n est\u00e1 en riesgo?<\/h2>\n<p>Estas vulnerabilidades no afecta la versi\u00f3n de la nube de Exchange; solo son una amenaza para los servidores instalados dentro de la infraestructura. De manera inicial Microsoft lanz\u00f3 <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">actualizaciones<\/a> para Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 y Microsoft Exchange Server 2019, y una actualizaci\u00f3n de \u201c<em>Defense in Depth<\/em>\u201d adicional para Microsoft Exchange Server 2010. Sin embargo, debido a la gravedad de la situaci\u00f3n, tambi\u00e9n <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/march-2021-exchange-server-security-updates-for-older-cumulative\/ba-p\/2192020\" target=\"_blank\" rel=\"noopener nofollow\">agregaron despu\u00e9s soluciones para<\/a> servidores de Exchange obsoletos.<\/p>\n<p>De acuerdo con los <a href=\"https:\/\/blogs.microsoft.com\/on-the-issues\/2021\/03\/02\/new-nation-state-cyberattacks\/\" target=\"_blank\" rel=\"noopener nofollow\">investigadores<\/a> de Microsoft, fueron los hackers del grupo Hafnium quienes aprovecharon la vulnerabilidades para robar informaci\u00f3n confidencial. Sus objetivos incluyen empresas industriales, investigadores de enfermedades infecciosas, bufetes de abogados, organizaciones sin fines de lucro y analistas pol\u00edticos de los Estados Unidos. Se desconoce el n\u00famero exacto de v\u00edctimas, pero <a href=\"https:\/\/krebsonsecurity.com\/2021\/03\/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software\/\" target=\"_blank\" rel=\"noopener nofollow\">de acuerdo con las fuentes de KrebsOnSecurity<\/a>, al menos 30 000 organizaciones en los Estados Unidos, incluidas peque\u00f1as empresas, administraciones locales, y gobiernos locales, fueron hackeadas mediante estas vulnerabilidades. Nuestros expertos encontraron que no solo las organizaciones estadounidenses est\u00e1n en peligro: los cibercriminales de todo el mundo est\u00e1n usando est\u00e1s vulnerabilidades.\u00a0 Puedes encontrar m\u00e1s informaci\u00f3n sobre la geograf\u00eda del ataque en <a href=\"https:\/\/securelist.com\/zero-day-vulnerabilities-in-microsoft-exchange-server\/101096\/\" target=\"_blank\" rel=\"noopener\">la publicaci\u00f3n de Securelist<\/a>.<\/p>\n<h2>\u00bfC\u00f3mo mantenerse seguro de los ataques en MS Exchange<\/h2>\n<ul>\n<li>En primer lugar, <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">parcha<\/a> tu instalaci\u00f3n de Microsoft Exchange Server. Si tu empresa no puede instalar actualizaciones, Microsoft recomienda m\u00faltiples <a href=\"https:\/\/msrc-blog.microsoft.com\/2021\/03\/05\/microsoft-exchange-server-vulnerabilities-mitigations-march-2021\/\" target=\"_blank\" rel=\"noopener nofollow\">soluciones<\/a>.<\/li>\n<li>De acuerdo con Microsoft, negar el acceso no confiable al servidor de Exchange en el puerto 443, o, en general, limitar las conexiones desde fuera de la red corporativa puede detener la fase inicial del ataque. Pero esto no ser\u00e1 \u00fatil si los atacantes ya est\u00e1n dentro de la infraestructura, o si logran que un usuario con permisos de administrador ejecute un archivo malicioso.<\/li>\n<li>Una soluci\u00f3n de tipo <a href=\"https:\/\/latam.kaspersky.com\/enterprise-security\/threat-management-defense-solution?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____tmd___\" target=\"_blank\" rel=\"noopener\">Endpoint Detection and Response<\/a> (si cuentas con expertos internos) o especialistas en el servicio de Detecci\u00f3n administrada y respuesta pueden detectar este comportamiento malicioso.<\/li>\n<li>Siempre recuerda que todas las computadoras conectadas al Internet, por medio de un servidor o estaci\u00f3n de trabajo, necesitan de una <a href=\"https:\/\/latam.kaspersky.com\/small-to-medium-business-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluci\u00f3n de seguridad de <em>endpoints<\/em> confiable<\/a> para evitar <em>exploits<\/em> y detectar de manera proactiva el comportamiento malicioso.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Los atacantes aprovechan cuatro vulnerabilidades peligrosas en Microsoft Exchange para respaldarse en la red corporativa.<\/p>\n","protected":false},"author":2581,"featured_media":21251,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[4981,49,1015,647],"class_list":{"0":"post-21250","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-exchange","9":"tag-microsoft","10":"tag-parches","11":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/exchange-vulnerabilities\/21250\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/exchange-vulnerabilities\/22592\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/exchange-vulnerabilities\/18085\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/exchange-vulnerabilities\/24317\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/exchange-vulnerabilities\/22385\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/exchange-vulnerabilities\/24847\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/exchange-vulnerabilities\/24085\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/exchange-vulnerabilities\/30228\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/exchange-vulnerabilities\/9406\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/exchange-vulnerabilities\/38964\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/exchange-vulnerabilities\/16505\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/exchange-vulnerabilities\/17104\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/exchange-vulnerabilities\/14553\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/exchange-vulnerabilities\/26321\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/exchange-vulnerabilities\/30177\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/exchange-vulnerabilities\/26768\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/exchange-vulnerabilities\/23631\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/exchange-vulnerabilities\/28972\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/exchange-vulnerabilities\/28781\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/21250","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=21250"}],"version-history":[{"count":8,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/21250\/revisions"}],"predecessor-version":[{"id":21263,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/21250\/revisions\/21263"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/21251"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=21250"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=21250"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=21250"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}