El escáner de seguridad de Microsoft es actualizado para detectar ataques ProxyLogon
Durante el pasado 2 de marzo, Microsoft hizo públicos una serie de parches de seguridad sobre los servicios de Microsoft Exchange para corregir vulnerabilidades 0-day que estaban siendo activamente explotadas por un APT de China (HAFNIUM). Estos parches afectaban directamente a las siguientes versiones de Microsoft Exchange: 2013, 2016 y 2019.
Todas las vulnerabilidades detectadas fueron catalogadas de riesgo alto, con el nombre de ProxyLogon, y les fueron asignados los siguientes identificadores CVE: CVE-2021-26412, CVE-2021-26854, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27078. De forma resumida, las vulnerabilidades permitían a un atacante escribir webshells en los servidores afectados, para posteriormente ejecutar comandos de forma remota.
A pesar de que Microsoft hizo públicos los parches de seguridad para corregir las vulnerabilidades, es posible que no todos los usuarios hayan podido aplicar los parches antes de ser afectados. Es por ello que Microsoft ha actualizado su herramienta que permite realizar escaneos de seguridad (MSERT, del inglés, Microsoft Emergency Response Tool), para detectar las posibles webshells de ProxyLogon que puedan existir, y posteriormente eliminarlas.
Microsoft, entre otras medidas de seguridad a aplicar como mitigación, recomienda realizar un escaneo completo con la herramienta MSERT. En el supuesto que solo se quiera analizar el compromiso de ProxyLogon, Microsoft recomienda realizar un análisis de las siguientes rutas, teniendo en cuenta lo observado durante los ataques ya realizados:
- %Ruta de instalación de IIS Server%aspnet_client*
- %Ruta de instalación de IIS Server%aspnet_clientsystem_web*
- %Ruta de instalación de Exchange Server%FrontEndHttpProxyowaauth*
- Ruta temporal configurada en ASP.NET
- %Ruta de instalación de Exchange Server%FrontEndHttpProxyecpauth*
Además de la herramienta de Microsoft, el CERT Latvia ha publicado un script escrito en PowerShell que también permite detectar posibles webshells en servidores afectados. Se puede acceder a dicho script a través de su propio repositorio de GitHub.
Aplicar las medidas de mitigación propuestas y utilizar estas herramientas no garantizan la mitigación de posibles explotaciones en el futuro, por lo que es altamente recomendable aplicar los parches de seguridad de Microsoft tan pronto como sea posible.
Más información:
SecurityAffairs – Microsoft updated its Microsoft Safety Scanner (MSERT) tool to detect web shells employed in the recent Exchange Server attacks
https://securityaffairs.co/wordpress/115388/hacking/microsoft-msert-microsoft-exchange-attacks.html?web_view=true
BleepingComputer – Microsoft’s MSERT tool now finds web shells from Exchange Server attacks
https://www.bleepingcomputer.com/news/security/microsofts-msert-tool-now-finds-web-shells-from-exchange-server-attacks/
La entrada El escáner de seguridad de Microsoft es actualizado para detectar ataques ProxyLogon se publicó primero en Una al Día.
Powered by WPeMatico
