Vulnerabilidad en Microsoft Exchange 2013 y posteriores

El Centro de Coordinación CERT (CERT/CC) ha lanzado un aviso de vulnerabilidad para las versiones de Microsoft Exchange 2013 y posteriores. Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, el problema en el servicio en línea de Microsoft se trata de una vulnerabilidad a ataques de retransmisión de NTLM.

Se ha descubierto una vulnerabilidad en Microsoft Exchange que podría permitir a un atacante obtener privilegios del servidor de correo Exchange con respecto al objeto Dominio en Active Directory, que podría afectar a la integridad y confidencialidad de su información.

En estos momentos no hay disponible un parche que corrija el fallo. Se recomienda tener activadas las actualizaciones automáticas, tanto del sistema operativo, como del resto de aplicaciones de nuestro equipo, y estar atentos a las mismas a fin de poner al día el sistema operativo lo antes posible.

Se trata de una vulnerabilidad descubierta por el experto en seguridad Dirk-jan Mollema. Microsoft Exchange está configurado de manera predeterminada con privilegios en el Directorio Activo o Active Directory, que se utiliza para la gestión de objetos (usuarios, equipos o grupos), para establecer políticas a nivel de empresa, para desplegar programas o aplicar actualizaciones críticas a una organización entera.

Un atacante, podría comunicarse tanto con el servidor de correo Microsoft Exchange, como con el dominio de Windows y utilizar la autenticación del servidor para comunicarse con el dominio de Windows con los mismos permisos que tuviera en el servidor, que en muchos casos pueden ser de administrador de la red.

El CERT/CC recomienda dosposibles mitigaciones de riesgos. La primera es deshabilitar las suscripciones push/pull de EWS; además, el usuario podría eliminar los privilegios que Exchange tiene en el objeto de dominio.

Fuente: CERT/CC

Suscríbete a nuestro Boletín