A Microsoft lançou patches para enfrentar diferentes vulnerabilidades de zero-day

A Microsoft lançou patches para enfrentar diferentes vulnerabilidades no Microsoft Exchange Server de zero-day.

As vulnerabilidades, que estão sendo exploradas, existem nos servidores de Exchange on-premises 2010, 2013, 2016 e 2019.

Abaixo as CVES que tratam do assunto CVE-2021-26855CVE-2021-26857CVE-2021-26858 e CVE-2021-27065.

A cadeia de ataque começa com uma conexão não confiável com a porta 443 do servidor Exchange.

Leia mais:

Falha grave atinge mais de 247 mil servidores do Microsoft Exchange
A importância da auditoria de email
Exchange Online x Exchange Server: O que vale mais a pena hoje?
Backup PST de email via Powershell
Adicionar domínios em Whitelist via Powershell

Detalhes técnicos

A Microsoft está fornecendo os seguintes detalhes para ajudar seus clientes a entenderem as técnicas usadas pela HAFNIUM para explorar essas vulnerabilidades, possibilitando uma defesa mais eficaz contra quaisquer ataques futuros a sistemas não reparados.

CVE-2021-26855 – É uma falha de falsificação de solicitação do lado do servidor (SSRF) no Exchange que permitiu ao invasor enviar solicitações HTTP arbitrárias e autenticar como o servidor Exchange.

CVE-2021-26857 – É uma vulnerabilidade insegura de descentralização no serviço de Mensagens Unificadas. A descentralização insegura é onde os dados não confiáveis controláveis pelo usuário são executados por um programa. Essa vulnerabilidade deu ao HAFNIUM a capacidade de executar o código como SISTEMA no servidor Exchange. Isso requer permissão do administrador ou outra vulnerabilidade para explorar.

CVE-2021-26858 – É uma vulnerabilidade de gravação arbitrária de arquivos pós-autenticação no Exchange. Se o HAFNIUM pudesse autenticar com o servidor Exchange, eles poderiam usar essa vulnerabilidade para gravar um arquivo para qualquer caminho no servidor. Eles poderiam autenticar explorando a vulnerabilidade do SSRF CVE-2021-26855 ou comprometendo as credenciais de um administrador legítimo.

CVE-2021-27065 – É uma vulnerabilidade de gravação arbitrária de arquivos pós-autenticação no Exchange. Se o HAFNIUM pudesse autenticar com o servidor Exchange, eles poderiam usar essa vulnerabilidade para gravar um arquivo para qualquer caminho no servidor. Eles poderiam autenticar explorando a vulnerabilidade do SSRF CVE-2021-26855 ou comprometendo as credenciais de um administrador legítimo.

Você pode baixar todas as CU ( Comulatives Updates ) através do link abaixo:

https://www.catalog.update.microsoft.com/Search.aspx?q=Exchange

Dica: Se você possui muito servidores com Exchange, é possível usar o NMAP para buscar pelos servidores que precisam de atualização.

Segue link para um SCRIPT, disponibilizado por Kevin Beaumont, Analista Sênior de Inteligência de Ameaças da Microsoft, no GitHub para esta varredura.

Referência: https://msrc.microsoft.com/update-guide/vulnerability

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!