Campaña de monitorización puntual sobre vulnerabilidades de Exchange Server

Menos de una quinta parte de los Servidores Exchange de nuestros clientes han mostrado un riesgo alto en la primera campaña de monitorización puntual de LEET Security, sobre una monitorización de casi 25.000 IPs.
Hace poco introdujimos un nuevo complemento sin coste en el servicio que ofrecemos a nuestros clientes, son lo que hemos llamado ‘Campañas de monitorización puntuales’. Éstas, a diferencia de la monitorización digital habitual, se realizan únicamente cuando se publica una vulnerabilidad, y en esta ocasión ha sido en respuesta a la que recientemente ha publicado Microsoft acerca de Exchange, su conocida solución de email de amplia implantación. Es en particular Exchange Server on-premises, es decir, la versión software / servidor que el usuario instala en sus propias infraestructuras y no la versión cloud.
El incidente
El enlace donde se puede consultar la información publicada por el fabricante está disponible en este enlace: (https://aka.ms/exchangevulns) donde se aprecia la magnitud del incidente por la reacción que ha mostrado Microsoft. Es un incidente serio. Todos los meses salen actualizaciones de seguridad para productos Microsoft y en casi todos los casos hay vulnerabilidades graves corregidas, pero hay algunos casos, como el que estamos comentando, en los que se genera mucha más actividad.
Cuando se ofrecen soluciones para buscar Webshells (puertas traseras), referencias a ramsonware que usa esas vulnerabilidades, cripto-mineros aprovechándose del problema, etc., ya no estamos hablando de una vulnerabilidad grave en base a un criterio puramente técnico (como CVSS) sino de un incidente copn un impacto mucho más global.
La monitorización
Nuestra preocupación principal es la seguridad de nuestros clientes y la confianza que transmiten, por lo que nos preocupaba saber cómo les había afectado este incidente y a qué riesgos estaban expuestos, desde nuestro expertise, la evaluación de riesgo.
Este proceso se efectúa de manera remota y no intrusiva. Se verifica la versión de Exchange que tiene instalada el cliente y, según la versión detectada, se le informa de los niveles de riesgo asociados en cada caso y de la solución (si fuese necesaria) que recomienda el fabricante. Con esta valoración del riesgo procuramos ayudar a una mejor toma de decisiones a la hora de generar sus planes de acción/mitigación.
Este proceso de monitorización busca la potencial vulnerabilidad de los servidores a los CVEs generados por las actualizaciones de seguridad de Microsoft de marzo y abril de 2021 relativas a Exchange.
El pack de actualizaciones de Marzo (son principalmente los CVEs: CVE-2021-26855, CVE-2021-26857, CVE-2021-27065, CVE-2021-26858, y el pack de abril (el reportado por la NSA) los siguientes: CVE-2021-28481, CVE-2021-28480, CVE-2021-28482, CVE-2021-28483. Todos ellos son críticos y explotables remotamente.
En esta campaña hemos monitorizado 24.535 IPs y el resultado mide si la versión que se tiene en el servidor Exchange es suficiente para mitigar estas vulnerabilidades, pudiendo dar 3 posibles valores: La versión detectada no es vulnerable, es potencialmente vulnerable pero se puede arreglar con un parche, o es vulnerable haciendo falta un cambio de versión (no hay parche de seguridad).
Conclusiones del análisis
Como parecía obvio antes de empezar el análisis, los servidores Exchange tienen una distribución baja en relación al conjunto de IPs de la infraestructura del cliente, un servidor de correo es suficiente para dar servicio a uno o más dominios y hay muchos clientes que optan por delegar el servicio de correo en la nube (como Google, Office 365, etc). Lo normal es que un cliente tenga entre 0 y 2 máquinas asignadas a esa labor. De las 24.535 IPs analizadas solo el 0.04% eran servidores Exchange.
De los servidores Exchange analizados (ver gráfico de arriba):
  • un 27% no eran vulnerables, 
  • un 54% eran potencialmente vulnerables (riesgo medio) 
  • un 19% eran vulnerables (riesgo alto).
Para ampliar información sobre esta problemática:


All you need is LEET!

 

Recibe nuestras notificaciones desde este enlace