Marzo 2021 | Vulnerabilidad en Exchange

Recientemente fueron liberadas actualizaciones de seguridad para resolver las vulnerabilidades detectadas en las siguientes versiones de Exchange:

  • Exchange Server 2010
  • Exchange Server 2013
  • Exchange Server 2016
  • Exchange Server 2019

Si bien estamos muy cerca de la liberación de un nuevo Cumulative Update para las versiones más recientes de Exchange, la recomendación de Microsoft es no esperar y aplicar los parches de forma inmediata.

En un escenario ideal se aplicarían los parches en versiones completamente actualizadas del producto, de hecho hasta hace unos días era la única posibilidad aunque Microsoft para ayudar a organizaciones que por algún motivo no pueden actualizar de forma urgente liberó parches para versiones anteriores.

Las actualizaciones de seguridad pueden ser descargadas desde el siguiente sitio de Microsoft:

Especial atención para la instalación, algunas recomendaciones en este sentido:

  1. Deshabilitar temporalmente el antivirus de sistema de archivos hasta finalizar el proceso
  2. No instalar directamente haciendo doble clic en el MSP descargado
  3. Para la ejecución, abrir un CMD con elevación (Run As Administrator), ir a la ruta donde se encuentre el MSP y ejecutar
  4. Habilitar el antivirus y reiniciar el servidor

Sobre detección y remediación

Microsoft ha publicado varios elementos a verificar para entender si el servidor pudo haber sido comprometido o no, al momento lo más simple quizás sea la ejecución de la herramienta MSERT (Microsoft Safety Scanner), esta se puede descargar desde el siguiente enlace:


About Daniel Núñez Banega

Consultor IT especializado en Microsoft Exchange, Active Directory y Microsoft 365.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist | Microsoft 365 Certified: Enterprise Administrator Expert | Microsoft 365 Certified: Security Administrator Associate | Microsoft Certified: Cybersecurity Architect Expert | Comptia Pentest+ | EC-Council Certified Ethical Hacker Master

Reader Interactions

Comments

  1. Gerard says

    Hola Daniel, en la documentación oficial no hace referencia a Exchange 2010
    ¿Crees que también tiene afectación sobre esta versión?

    Saludos

  2. Cuauhtemoc says

    Que tal Daniel
    Muchas gracias por la info de este update. Una consulta mi Exchange 2010 tiene sp3 pero no tiene algunos ROLLUP anteriores creo que solo tiene instalado el SP3 base, no importa si no tiene instalado los Rollup anteriores si instalo este ultimo? o tendría que instalar todos los anteriores en orden?
    Muchas Gracias.

  3. Daniel Núñez Banega says

    Hola Cuauhtemoc, podes instalar el update directamente (sería el rollup 32 e incluye los anteriores).

    • Daniel Núñez Banega says

      Hola Rodrigo, solo aplica a las versiones de Exchange On Premises, Exchange Online no se ve impactado.
      Claro que si tenés un entorno híbrido también tenés que tenerlo en cuenta independientemente de dónde se encuentren los buzones alojados.

  4. Lewis Escobar says

    Hola Daniel, gracias por la información, una consulta, yo tengo un entorno hibrido con Exchange 2010 SP3 Version 14.3 (Build 123.4) con los siguientes ServerRoles; ClientAccess, HubTransport será necesario actualizar a la Rollup32, no tengo nada publicado a Internet en ese servidor, ya que usamos Office365

    Gracias por tus comentarios.

    • Daniel Núñez Banega says

      Hola Lewis, los servidores que están en mayor riesgo serían los publicados hacia Internet, de cualquier modo la recomendación es aplicar el parche independientemente de esto.

  5. Enrique says

    Hola Daniel como estas consulta cual es la herramienta para aplicar a mi servidor de exchange
    si esta vulnerable ,para poder aplicar los parches

    • Daniel Núñez Banega says

      Hola Enrique, si el servidor no tiene instalado el parche correspondiente está vulnerable. Tenés lo enlaces de descarga en el artículo.

  6. Nayrobi Solano says

    buenos dias Daniel, como se si mi servidor esta comprometido. dado que me hablo mi ISP y me informo que desde mi servidor habia trafico malicioso, ya aplique el parche, pero quisiera saber si ya no esta enviando trafico malicioso.

  7. Marcelo Barreto says

    Buen día Daniel. En nuestra organización ya aplicamos los parches en nuestro DAG Ex 2013.
    ¿Con eso estaríamos cubiertos o puede haber todavía algún inconveniente?
    Desde ya muchas gracias.
    Saludos.

    • Daniel Núñez Banega says

      Hola Marcelo! El tema está en que el parche no resuelve la situación si el servidor ya fue comprometido. Es decir que por fuera de la aplicación del parche es conveniente la revisión del servidor para verificar esto.
      Una herramienta recomendada sería el MSERT (en el artículo está el link de descarga) y en complemento revisar logs de IIS con los comandos detallados en el blog de seguridad de Microsoft.

  8. Cuauhtemoc says

    Buen dia Daniel

    Listo, al parecer todo esta bien en el servidor después de aplicar la actualización. Aun continuo monitoreando el servidor de correo.
    Y note que en las funcionalidades la ECP me manda error al acceder, y se registra lo siguiente en el visor de eventos. «This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms.»
    Revise el Registro:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy] «Enabled»=dword:00000001(1) y esta habilitado.
    No recuerdo si estaba deshabilitado antes del parche.
    Recomiendas deshabilitarlo? Solo es el apartado de ECP que falla y por lo tanto los usuarios vía OWA no pueden crear reglas de filtrado.

    Nuevamente muchas gracias por cualquier recomendación.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *