Microsoft ha parcheado varias vulnerabilidades en su sistema  Exchange Server, pero los usuarios que no han actualizado cada vez reciben más ataques, y éstos se duplican cada dos o tres horas, alerta la compañía de ciberseguridad Check Point.

Desde el 2 de marzo, Microsoft había descubierto la presencia de vulnerabilidades  consideradas «críticas» que permitían una cadena de ataque iniciada por una «conexión no segura» a los servidores funcionando con Exchange, pero que también podían explotarse si se conseguía otro tipo de acceso.

A principios de semana lanzó una actualización para corregir cuatro vulnerabilidades de Exchange. Microsoft recomendó a las empresas que actualizasen sus servidores con las versiones afectadas de Exchange (2016 y 2019), ya que los equipos desactualizados siguen siendo vulnerables.

Check Point ha registrado cientos de intentos de explotación de vulnerabilidades contra empresas de todo el mundo relacionados con las estas vulnerabilidades. Y que el número de intentos de ataques n las empresas que rastrea se duplica cada dos o tres horas.

De todas las empresas atacadas, el 17% proceden del sector público y militar y un 14% del sector industrial. El país más atacado es Turquía (19%), seguido de Estados Unidos (18%) e Italia (10%).

El grupo de ciberdelincuentes chinos Hafnium es uno de los más activos en aprovechar estas vulnerabilidades de Microsoft Exchange para instalar programas espía en empresas.

Una vez que un ciberdelincuente se apodera del servidor Exchange, puede abrir la red a Internet y acceder a ella de forma remota. Dado que muchos servidores Exchange están conectados a Internet (a través de Outlook Web Access) y están integrados en la red general, esto supone un riesgo de seguridad crítico para millones de empresas, advierte Check Point.

Si el servidor de Microsoft Exchange de una empresa tiene acceso a Internet y no se ha actualizado con los últimos parches ni se ha protegido con un software de terceros, entonces debería considerar que el servidor está en peligro.

Los servidores comprometidos podrían permitir a un cibercriminal no autorizado extraer todos los correos electrónicos corporativos y ejecutar un código malicioso dentro de una empresa con elevados permisos.

Check Point ha descrito también el funcionamiento de cada una de las cuatro vulnerabilidades día cero presentes en el sistema Microsoft Exchange Server.

• CVE-2021-26855, una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Exchange que permite al ciberdelincuente enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.
• CVE-2021-26857 es una vulnerabilidad de deserialización insegura en el servicio de Mensajería Unificada. Este error se produce cuando los datos no confiables controlados por el usuario son deserializados por un programa. La explotación de esta vulnerabilidad da al ciberatacante la capacidad de ejecutar código como sistema en el servidor Exchange, lo que requiere el permiso del administrador u otra vulnerabilidad.
• CVE-2021-26858, es una vulnerabilidad de escritura arbitraria de archivos después de la autenticación en Exchange. Si el atacante pudiera autenticarse en el servidor, puede esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor
• CVE-2021-27065 es una vulnerabilidad de escritura arbitraria de archivos posterior a la autenticación en Exchange, que permite al ciberatacante escribir un archivo en cualquier ruta del servidor.