Explotación activa de cuatro vulnerabilidades de día cero en Microsoft Exchange Server

El 2 de marzo de 2021, Volexity informó sobre la explotación en estado salvaje de cuatro vulnerabilidades de Microsoft Exchange Server: CVE-2021-26855CVE-2021-26857CVE-2021-26858 y CVE-2021-27065.

Como resultado de la explotación de estas vulnerabilidades, los adversarios pueden acceder a los servidores Microsoft Exchange y permitir la instalación de herramientas adicionales para facilitar el acceso a largo plazo a los entornos de las víctimas. 
 
Estas vulnerabilidades afectan a las siguientes versiones de Microsoft Exchange Server: Microsoft Exchange 2013, Microsoft Exchange 2016 y Microsoft Exchange 2019.

Microsoft ha lanzado una actualización de seguridad de emergencia fuera de banda para parchear estas vulnerabilidades. Cuando estas vulnerabilidades están encadenadas, los actores de amenazas pueden explotar y obtener acceso a los servidores de Microsoft Exchange.
  
Recomendación
Trend Micro Deep Security puede proteger los sistemas contra tales amenazas. Cuenta con capacidades parcheo virtual, monitoreo de comportamiento que bloquea archivos maliciosos y URL, así como también detecta comportamientos y rutinas vinculadas a actividades maliciosas.

Consulta el artículo aquí

Microsoft corrige zero day y otras 83 vulnerabilidades en actualización de enero.

El primer paquete de actualizaciones de este 2021 corrige una zero-day en Microsoft Defender que según la compañía ya fue explotada por atacantes previo al lanzamiento del parche.
 
El martes de esta semana Microsoft lanzó el primer paquete de actualizaciones del 2021. En esta edición del popularmente conocido Patch Tuesday, la compañía reparó un total de 83 vulnerabilidades presentes en distintos productos. Del total de vulnerabilidades reparadas, 10 fueron catalogadas como críticas.  Uno de los fallos corregidos es una zero-day que afecta a Microsoft Defender.
 
Recomendación: Para proteger las empresas contra este tipo amenazas se recomienda tener herramientas de siguiente generación que además sean complementarias al AV tradiciones como Cortex XDR de Palo Alto.

Consulta el artículo aquí

Si usted usa el servicio de DNS de Microsoft, está información le sirve

Existe una vulnerabilidad de ejecución remota de código en los servidores del Sistema de nombres de dominio de Windows cuando no pueden manejar correctamente las solicitudes. Un atacante que aprovechará la vulnerabilidad con éxito podría ejecutar código arbitrario en el contexto de la cuenta del sistema local. Los servidores de Windows que están configurados como servidores DNS están expuestos a esta vulnerabilidad.
 
Para aprovechar la vulnerabilidad, un atacante no autenticado podría enviar solicitudes maliciosas a un servidor DNS de Windows.
 
Microsoft ha liberado la actualización de seguridad para poder hacer el manejo de esta vulnerabilidad. De igual manera los fabricantes de seguridad como Trend Micro, Palo Alto Networks y Sophos entre otros, han liberado firmas y reglas de prevención en sus herramientas:

Trend Micro
Patch Tuesday: Fixes for ‘Wormable’ Windows DNS Server RCE, SharePoint Flaws

Sophos:
It’s always DNS, including on July, 2020’s Patch Tuesday

Palo Alto Networks
https://threatvault.paloaltonetworks.com/ Unique Threat ID: 58691

Toda la información de la vulnerabilidad la puede consultar en: CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability