TLP: Amber
NIVEL DE RIESGO – CVSS v3.1: 8.8 [Alto]
Acción Requerida: Aplicar las actualizaciones publicadas por Microsoft a los productos afectados.
Vector de ataque: Remoto.
Impacto: Ejecución de código.

Descripción

De acuerdo con un análisis realizado por una firma de ciberseguridad, se han identificado más de 247 mil servidores Microsoft Exchange vulnerables a la falla de seguridad con el identificador CVE-2020-0688 (CVSS v3.1 8.8 [Alto]), la cual fue corregida por Microsoft en el mes de febrero del año en curso.

Dicha falla está presente en un componente del Panel de Control de Exchange (ECP), el cual está habilitado en la configuración predeterminada y el error es causado porque el servidor no crea correctamente claves únicas al momento de la instalación. Esta vulnerabilidad puede permitir a un usuario malicioso autenticado ejecutar código de manera remota en el dispositivo afectado utilizando cualquier credencial de correo electrónico válida.

Aunado a ello, unas semanas después de que la falla fue dada a conocer, algunas organizaciones gubernamentales en Estados Unidos solicitaron a las instituciones actualizar sus sistemas, ya que identificaron que algunos grupos maliciosos la estaban aprovechando.

Además, es importante mencionar que se ha identificado en Internet algunas Pruebas de Concepto (PoC) que aprovechan esta vulnerabilidad y pueden ser utilizadas por cualquier usuario, haciendo que aumente el riesgo para las organizaciones que todavía no han actualizado sus sistemas.

Nivel de riesgo

  • CVSS v3.1 8.8 [Alto]

Sistemas/tecnologías afectadas:

  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Medidas de erradicación

A continuación, se listan las actualizaciones publicadas por Microsoft para corregir la falla reportada en esta alerta:

  • Paquete acumulativo de actualizaciones 30 de Microsoft Exchange Server 2010 Service Pack 3
  • Actualización acumulativa 23 de Microsoft Exchange Server 2013
  • Actualización acumulativa 14 de Microsoft Exchange Server 2016
  • Actualización acumulativa 15 de Microsoft Exchange Server 2016
  • Actualización acumulativa 3 de Microsoft Exchange Server 2019
  • Actualización acumulativa 4 de Microsoft Exchange Server 2019

Referencias