Noticias
Parche urgente de seguridad para Microsoft Exchange
Microsoft Exchange, la solución de comunicación y colaboración en grupo de Microsoft es, desde hace años, un objetivo de lo más codiciado por los ciberdelincuentes. Algo que resulta comprensible, puesto que esta plataforma es, en muchas ocasiones, la principal vía (o conjunto de vías, para ser más exactos) empleada por los empleados de organizaciones de todo tipo y tamaño pata gestionar algo tan crítico como son sus comunicaciones, tanto internas como con el exterior.
Así, y desgraciadamente, en muchas ocasiones tenemos conocimiento de vulnerabilidades que afectan a Exchange cuando ya están siendo empleadas in the wild, por lo que la velocidad de respuesta ante las mismas es una medida clave para minimizar los riesgos. Primero, porque es una vulnerabilidad ya conocida por algunos ciberdelincuentes, y segundo porque a partir de su divulgación, aunque los datos de la misma sean muy limitados, abre las puertas a que otros muchos ciberdelincuentes se pongan manos a la obra para intentar identificarla y explorarla.
Esta es la razón por la que, cuando una compañía como Microsoft detecta una vulnerabilidad en alguno de sus productos, establece como prioridad absoluta la creación de las herramientas necesarias para mitigar la amenaza. Ya lo hemos visto en otros muchos casos, sin ir más lejos a principios de este año con otras vulnerabilidades relacionadas también con Exchange, y que no fueron difundidas públicamente, pese a que ya estaban siendo explotadas en ese momento, hasta que los de Redmond no tuvieron lista la artillería necesaria para mitigar la amenaza.
En esta ocasión nos encontramos con una vulnerabilidad identificada como CVE-2021-42321 y que permite la explotación remota, no es particularmente compleja y puede llevar a la ejecución de código arbitrario. Así, como puedes suponer, hablamos de una amenaza bastante sería, y que por lo tanto debe ser mitigada a la mayor brevedad. En la misma página en la que Microsoft informa sobre la vulnerabilidad, puedes encontrar los parches necesarios para proteger las instalaciones de Exchange.
CVE-2021-42321 afecta, eso sí, solo a los servidores de Microsoft Exchange locales, incluidos los que utilizan los clientes en el modo híbrido de Exchange. Es decir, que los administradores que solo emplean Exchange Online no deben preocuparse, ya que no se ven afectados por este problema y, en consecuencia, no es necesario que tomen medidas para protegerse.
En caso de que administremos servidores locales de Exchange, además de aplicar las actualizaciones de seguridad publicadas por Microsoft también tenemos la posibilidad de comprobar si han sido víctimas de algún ataque empleando esta vulnerabilidad. Para tal fin, deberán acceder a la interfaz de PowerShell de los sistemas en los que esté corriendo el software de Microsoft, y emplear este comando para chequear, en el Registro de eventos, si se ha producido alguna anomalía.
Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }
Sea como fuere, haya o no haya sufrido algún ataque, lo que es perentorio en cualquier caso es, claro, aplicar de inmediato las actualizaciones publicadas por Microsoft. Y es que, como ya comentábamos anteriormente, los intentos de explotación de la misma van a crecer de manera exponencial ahora que su existencia ya es de conocimiento público.