Recientemente fueron liberadas actualizaciones de seguridad para resolver las vulnerabilidades detectadas en las siguientes versiones de Exchange:
- Exchange Server 2010
- Exchange Server 2013
- Exchange Server 2016
- Exchange Server 2019
Si bien estamos muy cerca de la liberación de un nuevo Cumulative Update para las versiones más recientes de Exchange, la recomendación de Microsoft es no esperar y aplicar los parches de forma inmediata.
En un escenario ideal se aplicarían los parches en versiones completamente actualizadas del producto, de hecho hasta hace unos días era la única posibilidad aunque Microsoft para ayudar a organizaciones que por algún motivo no pueden actualizar de forma urgente liberó parches para versiones anteriores.
Las actualizaciones de seguridad pueden ser descargadas desde el siguiente sitio de Microsoft:
- Marzo 2021 | Actualizaciones de seguridad para Exchange 2013 / 2016 / 2019
- Marzo 2021 | Actualizaciones de seguridad para Exchange 2010 SP3
Especial atención para la instalación, algunas recomendaciones en este sentido:
- Deshabilitar temporalmente el antivirus de sistema de archivos hasta finalizar el proceso
- No instalar directamente haciendo doble clic en el MSP descargado
- Para la ejecución, abrir un CMD con elevación (Run As Administrator), ir a la ruta donde se encuentre el MSP y ejecutar
- Habilitar el antivirus y reiniciar el servidor
Sobre detección y remediación
Microsoft ha publicado varios elementos a verificar para entender si el servidor pudo haber sido comprometido o no, al momento lo más simple quizás sea la ejecución de la herramienta MSERT (Microsoft Safety Scanner), esta se puede descargar desde el siguiente enlace:
Hola Daniel, en la documentación oficial no hace referencia a Exchange 2010
¿Crees que también tiene afectación sobre esta versión?
Saludos
Hola Gustavo, ahora que lo mencionas veo que no dejé el link de descarga para el caso de Exchange 2010, te lo dejo acá y actualizo:
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2010-service-pack-3-march-2-2021-kb5000978-894f27bf-281e-44f8-b9ba-dad705534459
Que tal Daniel
Muchas gracias por la info de este update. Una consulta mi Exchange 2010 tiene sp3 pero no tiene algunos ROLLUP anteriores creo que solo tiene instalado el SP3 base, no importa si no tiene instalado los Rollup anteriores si instalo este ultimo? o tendría que instalar todos los anteriores en orden?
Muchas Gracias.
Hola Cuauhtemoc, podes instalar el update directamente (sería el rollup 32 e incluye los anteriores).
Enterado.
Muchas gracias, Saludos.
Hola Daniel
de que manera impacta esto en los usuarios de office365
Hola Rodrigo, solo aplica a las versiones de Exchange On Premises, Exchange Online no se ve impactado.
Claro que si tenés un entorno híbrido también tenés que tenerlo en cuenta independientemente de dónde se encuentren los buzones alojados.
Hola Daniel, gracias por la información, una consulta, yo tengo un entorno hibrido con Exchange 2010 SP3 Version 14.3 (Build 123.4) con los siguientes ServerRoles; ClientAccess, HubTransport será necesario actualizar a la Rollup32, no tengo nada publicado a Internet en ese servidor, ya que usamos Office365
Gracias por tus comentarios.
Hola Lewis, los servidores que están en mayor riesgo serían los publicados hacia Internet, de cualquier modo la recomendación es aplicar el parche independientemente de esto.
Hola Daniel como estas consulta cual es la herramienta para aplicar a mi servidor de exchange
si esta vulnerable ,para poder aplicar los parches
Hola Enrique, si el servidor no tiene instalado el parche correspondiente está vulnerable. Tenés lo enlaces de descarga en el artículo.
buenos dias Daniel, como se si mi servidor esta comprometido. dado que me hablo mi ISP y me informo que desde mi servidor habia trafico malicioso, ya aplique el parche, pero quisiera saber si ya no esta enviando trafico malicioso.
Hola Nayrobi, lo primero que probaría es ejecutar el MSERT (Microsoft Safety Scanner), en complemento revisar logs.
En el siguiente post del blog de seguridad de Microsoft se detallan comandos que podes ejecutar para automatizar la búsqueda:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
Buen día Daniel. En nuestra organización ya aplicamos los parches en nuestro DAG Ex 2013.
¿Con eso estaríamos cubiertos o puede haber todavía algún inconveniente?
Desde ya muchas gracias.
Saludos.
Hola Marcelo! El tema está en que el parche no resuelve la situación si el servidor ya fue comprometido. Es decir que por fuera de la aplicación del parche es conveniente la revisión del servidor para verificar esto.
Una herramienta recomendada sería el MSERT (en el artículo está el link de descarga) y en complemento revisar logs de IIS con los comandos detallados en el blog de seguridad de Microsoft.
Buen dia Daniel
Listo, al parecer todo esta bien en el servidor después de aplicar la actualización. Aun continuo monitoreando el servidor de correo.
Y note que en las funcionalidades la ECP me manda error al acceder, y se registra lo siguiente en el visor de eventos. «This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms.»
Revise el Registro:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy] «Enabled»=dword:00000001(1) y esta habilitado.
No recuerdo si estaba deshabilitado antes del parche.
Recomiendas deshabilitarlo? Solo es el apartado de ECP que falla y por lo tanto los usuarios vía OWA no pueden crear reglas de filtrado.
Nuevamente muchas gracias por cualquier recomendación.