Premisa

En esta publicación, hablaré brevemente sobre cómo probar que su servidor Microsoft Exchange local es vulnerable a CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065 o HAFNIUM 0 Day Exploit.

Productos afectados: servicio Exchange de Microsoft local

Impacto: los atacantes pueden robar buzones de correo y lanzar más ataques de malware.

Obtenga notas del certificado OSCP

“Investigación y parcheo de CVE-2021-26855 en el servidor Microsoft Exchange local”

*Comprobando si el servidor está comprometido automáticamente
#Descargue el inicio de sesión del proxy de prueba desde github

# Inicie el símbolo del sistema y escriba el siguiente comando para iniciar el shell de administración de Exchange
<C:\LaunchEMS>
# Luego ejecute el siguiente comando para comenzar a ejecutar la herramienta
<Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs>
#Probando solo el servidor local
<C:.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs>

*Comprobando si el servidor está comprometido a mano
#Busca en las siguientes rutas
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\8Lw7tAhF9i1pJnRo.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\OutlookZH.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\authhead.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\bob.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\current\one1.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\errorPage.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\errorPages.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\fatal-erro.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\log.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\logg.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\logout.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\one.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\one1.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\shel.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\shel2.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\shel90.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\a.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\default.aspx
C:\inetpub\wwwroot\aspnet_client\shell.aspx
C:\inetpub\wwwroot\aspnet_client\Server.aspx
C:\inetpub\wwwroot\aspnet_client\aspnet_client.aspx
C:\inetpub\wwwroot\aspnet_client\aspnet_iisstart.aspx
C:\inetpub\wwwroot\aspnet_client\aspnet_pages.aspx
C:\inetpub\wwwroot\aspnet_client\aspnet_www.aspx
C:\inetpub\wwwroot\aspnet_client\default1.aspx
C:\inetpub\wwwroot\aspnet_client\errorcheck.aspx
C:\inetpub\wwwroot\aspnet_client\iispage.aspx
C:\inetpub\wwwroot\aspnet_client\s.aspx
C:\inetpub\wwwroot\aspnet_client\session.aspx
C:\inetpub\wwwroot\aspnet_client\shell.aspx
C:\inetpub\wwwroot\aspnet_client\system_web\log.aspx
C:\inetpub\wwwroot\aspnet_client\xclkmcfldfi948398430fdjkfdkj.aspx
C:\inetpub\wwwroot\aspnet_client\xx.aspx
C:\inetpub\wwwroot\aspnet_client\Server.aspx
C:\inetpub\wwwroot\aspnet_client\discover.aspx
C:\inetpub\wwwroot\aspnet_client\HttpProxy.aspx
C:\inetpub\wwwroot\aspnet_client\OutlookES.aspx
C:\inetpub\wwwroot\aspnet_client\supp0rt.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\OAB\log.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\log.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\logg.aspx
C:\Archivos de programa\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\logout.aspx

*Parchando la vulnerabilidad

# Busque en el siguiente enlace una lista de parches y actualizaciones.
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

*Mitigaciones temporales

#Descargue el script de mitigación a continuación
https://github.com/microsoft/CSS-Exchange/releases/latest/download/ExchangeMitigations.ps1
#Rejecutar el script
<.\ExchangeMitigations.ps1 -WebSiteNames “Sitio web predeterminado” -ApplyAllMitigations -Detallado>

*Cómo probar si tu cliente es vulnerable sin acceder a sus entornos

#Descargue el siguiente script nmap y guárdelo en /usr/share/nmap/scripts/
https://github.com/microsoft/CSS-Exchange/releases/latest/download/http-vuln-cve2021-26855.nse
<nmap -sV -A [target-ip] –script=http-vuln-cve2021-26855.nse>

#Todos los detalles sobre IOC, mitigación y parches se pueden encontrar a continuación
https://github.com/microsoft/CSS-Exchange/tree/main/Security



, , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos