Ocho meses después de que Microsoft emitiera una solución, más de la mitad de los servidores Exchange expuestos siguen siendo vulnerables a un error grave que permite a los atacantes autenticados ejecutar código de forma remota con privilegios del sistema.

La vulnerabilidad en cuestión (CVE-2020-0688) existe en el panel de control de Exchange, el servidor de correo y el servidor de calendario de Microsoft. La falla se debe a que, en el momento de la instalación, el servidor no creó claves únicas correctamente.  En febrero de 2020 el desarrollador de Windows corrigió esta falla como parte de las actualizaciones, y en marzo advirtió a los administradores que los servidores sin parche estaban siendo explotados por una amenaza persistente avanzada (APT, por sus siglas en inglés).

Sin embargo, la nueva telemetría descubrió que, de los 433,464 servidores de Exchange con conexión a Internet observados, al menos el 61 por ciento con sistemas operativos Windows Server 2010, 2013, 2016 y 2019 siguen siendo vulnerables a la falla.

Los proveedores instaron a los administradores a comprobar que se haya implementado una actualización. El método más confiable es verificando el software de administración de parches, las herramientas de administración de vulnerabilidades, o los propios hosts para determinar si se ha instalado la actualización adecuada.

Con la actividad en curso, los administradores también deben determinar si alguien ha intentado explotar la vulnerabilidad en su entorno. El código de explotación deja rastros de código malicioso en el registro de eventos de Windows y en los registros de IIS, que contienen aciertos de caché en modo kernel de la API del servidor HTTP, tanto en servidores parcheados como sin parche.

Los administradores también pueden revisar sus registros de IIS en busca de solicitudes a una ruta en /ecp (generalmente /ecp/default.aspx). Estos deben contener la cadena __VIEWSTATE y __VIEWSTATEGENERATOR, e incluir una cadena larga que forma parte de la carga útil del exploit en medio de la solicitud.

Con esto se visualizará el nombre de usuario del nombre de la cuenta comprometida al final de la entrada del registro. La revisión rápida en las entradas del registro justo antes del intento de explotación deberá mostrar solicitudes exitosas (código HTTP 200) a páginas web en /owa y luego en /ecp.

Referencias:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688
https://threatpost.com/microsoft-exchange-exploited-flaw/159669/
https://www.helpnetsecurity.com/2020/04/08/exploit-cve-2020-0688/
https://securityaffairs.co/wordpress/108946/hacking/vulnerable-exchange-servers.html