Esta Semana en ciberseguridad

Cuatro parches de emergencia lanzados por Microsoft para combatir vulnerabilidades 0-day en Exchange

Una colección de vulnerabilidades desconocidas ha salido a la luz, luego que Microsoft informara que atacantes, presuntamente asociados con el gobierno Chino, han estado utilizándolos en diversos ataques, principalmente con el objetivo de robar información, siendo grupo denominado “Hafnium”.

Microsoft insiste a todos sus clientes en instalar estos parches rápidamente, ya que, según comenta Tom Burt, Vicepresidente de Seguridad y Confianza en Microsoft, “a pesar de haber trabajado rápidamente para parchar estas vulnerabilidades, sabemos que muchos actores estatales y grupos criminales tomarán rápidamente ventaja de cualquier sistema vulnerable”

Microsoft no identificó a las víctimas, pero aseguró que eran negocios que utilizan sistemas Exchange instalados en sus propias oficinas

Las vulnerabilidades son las siguientes:

  • CVE-2021-26855, una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que permitía a los atacantes enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.
  • CVE-2021-26857, una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada. La deserialización insegura ocurre cuando un programa deserializa datos que no son de confianza y controlables por el usuario. La explotación de esta vulnerabilidad le dio a Hafnium la capacidad de ejecutar código como Usuario de Sistema en el servidor Exchange. Esto requiere permiso de administrador u otra vulnerabilidad para explotar.
  • CVE-2021-26858, una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación. Si Hafnium pudiera autenticarse con el servidor de Exchange, entonces podría usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. El grupo podría autenticarse explotando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.
  • CVE-2021-27065, una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación. Si Hafnium pudiera autenticarse con el servidor de Exchange, podrían usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podría autenticarse aprovechando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.

Este miércoles la agencia CISA de Ciberseguridad e Infraestructura de los Estados Unidos, ordenó a todas las agencias federales a investigar, parchar o desconectar los sistemas relacionados a esta falla debido a la seriedad del problema.

Más detalles se encuentran disponibles en
(1) https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/ y
(2) https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

Fuente: https://arstechnica.com/information-technology/2021/03/microsoft-issues-emergency-patches-for-4-exploited-0days-in-exchange/

Vulnerabilidades descubiertas en el Kernel de Linux permiten escalar privilegios localmente

Cinco nuevas vulnerabilidades han sido descubiertas en el Kernel de Linux, conocidas como CVE2021-26708, y tienen una calificación CVSS de 7.0, consideradas como de riesgo alto.

Estos problemas fueron encontrados desde la versión 5.5 de Noviembre de 2019, y tienen relación con el soporte “Virtual Socket Multi-transport”. Los drivers vulnerables CONFIG_VSOCKETS y CONFIG_VIRTIO_VSOCKETS son incluidos por defecto en la mayoria de las distribuciones dominantes de GNU/Linux, y es posible que un usuario sin privilegios cargue estos módulos.

Alexander Popov, investigador de seguridad, comenta que “desarrolló un prototipo de escala local de privilegios en un servidor Fedora 33., saltando las protecciones de la plataforma x86_64 como SMEP y SMAP”.

Popov preparó los parches y divulgó responsablemente las vulnerabilidades al equipo de seguridad del kernel de Linux. El parche está disponible desde la versión 5.11-rc7 y ha sido incluido hacia atrás en todas las versiones estables.

Fuente: https://www.helpnetsecurity.com/2021/03/03/cve-2021-26708/?web_view=true