Como parte de su programa de parches, Microsoft lanzó en abril parches para un total de 114 fallas de seguridad, incluido uno de día cero activamente explotado y cuatro errores de ejecución de código remoto en Exchange Server. De las 114 fallas, 19 se clasificaron como críticas, 88 como fallas importantes y una, clasificada como de gravedad moderada.
La principal, conocida como CVE-2021-28310, es una vulnerabilidad de escalada de privilegios en Win32k que está bajo explotación activa, lo que permite a los atacantes elevar los privilegios ejecutando código malicioso en un sistema.
A empresa de segurança cibernética Kaspersky, que descobriu e relatou a falha à Microsoft em fevereiro, vinculou a exploração de dia zero a um grupo que opera ameaças persistentes avanças chamado Bitter, que foi descoberto explorando uma falha semelhante (CVE-2021-1732) no año pasado.
“Es una exploración que te permite elevar privilegios [escalation of privilege ou EoP, em inglês] que probablemente se usa junto con otros exploits del navegador para escapar de las cajas de arena u obtener privilegios del sistema para un acceso posterior ”, dijo Boris Larin, investigador de Kaspersky.
Nuevos errores afectan a Exchange Server
Microsoft también corrigió cuatro fallas de ejecución remota de código (RCE), CVE-2021-28480 a CVE-2021-28483, que afectan a los servidores Exchange en las instalaciones, versiones 2013, 2016 y 2019, que fueron informados a la empresa por la Agencia de Seguridad Nacional (NSA) de EE. UU. Dos de los errores de ejecución de código no están autenticados y no requieren la interacción del usuario, además de tener una puntuación de 9,8 en el CVSS (sistema de puntuación de vulnerabilidad común).
Aunque Microsoft dijo que no encontró evidencia de exploits activos, se recomienda que los clientes instalen estas actualizaciones lo antes posible para proteger el medio ambiente, a la luz de los ataques generalizados a Exchange Server el mes pasado y los nuevos hallazgos que los atacantes están intentando aprovechar. el exploit ProxyLogon para implementar criptomineros maliciosos en servidores Exchange, con la carga útil alojada en un servidor Exchange comprometido.
La Agencia de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) también revisó la directiva de emergencia emitida el mes pasado, indicando que “estas vulnerabilidades representan un riesgo inaceptable para la empresa federal y requieren una acción inmediata y de emergencia”, al tiempo que advierte que las fallas subyacentes pueden convertirse en armas mediante ingeniería inversa del parche para crear un exploit.
El FBI elimina las puertas traseras de Exchange Server
Además, el FBI llevó a cabo una “acción exitosa” para “copiar y eliminar” proyectiles web colocados por oponentes en cientos de computadoras de las víctimas usando fallas de ProxyLogon. Se dice que la policía federal de EE. UU. Limpió las carcasas web que instaló el grupo de piratería Hafnium que podrían haber sido utilizadas para mantener y obtener acceso persistente y no autorizado a las redes de EE. UU.
“El FBI realizó la eliminación emitiendo un comando a través del shell web al servidor, que fue diseñado para hacer que el servidor excluyera solo el shell web (identificado por su ruta de archivo única)”, dijo el Departamento de Justicia en un comunicado que detalla la operación autorizada por el tribunal.
Fuente: https://www.cisoadvisor.com.br/novas-falhas-voltam-a-por-em-risco-servidores-exchange/?rand=59052
