Saltar al contenido

Una avalancha de reinicios indica el parcheo del servidor Exchange

Una avalancha de reinicios indica el parcheo del servidor Exchange

Más de 100.000 servidores de Outlook Web Access se han reiniciado desde que Microsoft lanzó actualizaciones de seguridad para la vulnerabilidad de ejecución remota de código en ProxyLogon. La posterior oleada de actividad de reinicio probablemente indica que muchos servidores de Microsoft Exchange se reiniciarán después de instalar las actualizaciones de seguridad.

Diagrama que muestra las últimas fechas de reinicio de los servidores de Outlook Web Access

Último reinicio de los servidores de Outlook Web Access el 14 de marzo de 2021.

Aproximadamente la mitad de todos los servidores que ejecutan Outlook Web Access (un servicio incluido con Microsoft Exchange Server) se reiniciaron en los cinco días posteriores a la publicación del parche de emergencia. Algunos de ellos se han reiniciado desde entonces y, por lo tanto, aparecen más adelante en el gráfico anterior. Es probable que las máquinas reiniciadas se hayan actualizado, pero la falta de reinicio después del 2 de marzo no indica necesariamente una vulnerabilidad. Como anécdota, la mayoría de los servidores habrían solicitado un reinicio después de la actualización, pero algunos podrían simplemente requerir reiniciar los servicios, aunque los administradores pueden haber optado por reiniciar los servidores.

Las revisiones originales de Microsoft solo se pueden aplicar a los servidores que tienen instaladas las últimas actualizaciones acumulativas de Exchange Server. Sin embargo, en medio de la explotación masiva de las vulnerabilidades, Microsoft también ha lanzado una serie de actualizaciones de seguridad que se pueden aplicar a servidores Exchange más antiguos y no compatibles que no tienen o no han instalado las últimas actualizaciones acumulativas.

La ruta de actualización de seguridad alternativa está pensada como una medida temporal para proteger las máquinas vulnerables. Fundamentalmente, la instalación de una actualización acumulativa posterior que no incluya las correcciones de seguridad de marzo de 2021 hará que el servidor vuelva a ser vulnerable, y cualquier computadora que use la ruta de actualización de seguridad alternativa también deberá reiniciarse sin preguntar. En estos casos, los servidores ciertamente solo están protegidos después de un reinicio.

Algunos de los reinicios más recientes pueden haber sido provocados por el paquete de actualizaciones de software Patch Tuesday del 9 de marzo de Microsoft, que también contiene correcciones para las vulnerabilidades de ejecución remota de código en Microsoft Exchange.

El 6 de marzo, cuatro días después de que se publicaran las actualizaciones de seguridad originales, Netcraft descubrió que más de 99.000 servidores de Outlook Web Access seguían ejecutando versiones que Kevin Beaumont había identificado como definitivamente vulnerables. Sin embargo, la instalación oportuna de las actualizaciones de Microsoft podría haber sido como cerrar la puerta del establo después de bloquear el caballo, ya que más del 10% de todas las instalaciones de Outlook Web Access visitadas ya estaban comprometidas con los shells web del atacante instalados. Estos continúan proporcionando al delincuente acceso administrativo a los servidores comprometidos después de que se hayan instalado las actualizaciones de seguridad.

Las últimas fechas de reinicio fueron correctas el 14 de marzo. Pudimos señalar el tiempo desde el último reinicio para el 82% de las direcciones IP que ejecutan Outlook Web Access.

Source link