ALERTA 03/2022

[TLP:WHITE]

1. Recebemos de nossos colaboradores informações relacionadas a vulnerabilidades em produtos Microsoft Exchange Server 2013, 2016 e 2019. Apesar dessas vulnerabilidades terem se tornadas públicas no ano de 2021, esse vetor continua sendo muito explorado por atacantes. A exploração eventual dessas vulnerabilidades resultará no comprometimento do servidor de e-mails da organização, logo, toda a informação de e-mails da organização também estará comprometida. Seguem as descrições abaixo:

1.1 CVE-2021-34473:
    - Resumo: RCE NÃO precisa de autenticação e explora o serviço de Autodiscover;
      Nível de comprometimento: SYSTEM;
      Solução: Atualizar o Exchange [https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-34473]

1.2 CVE-2021-34523:
    - Resumo: RCE precisa de autenticação explorando validação do serviço de PowerShell, mas a autenticação permite "bypass";
      Nível de comprometimento: SYSTEM;
      Solução: Atualizar o Exchange [https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-34523]

1.3 CVE-2021-31207:
    - Resumo: RCE precisa de autenticação explorando o export the handling of mailbox export.
      Nível de comprometimento: SYSTEM;
      Solução: Atualizar o Exchange [https://msrc.microsoft.com/update-guide/en-us/vulnerability/CVE-2021-31207]

2. Recomendamos que as equipes responsáveis pela administração de sistemas Microsoft Exchange Server realizem a verificação do servidor e que as vulnerabilidades, caso identificadas, sejam sanadas com a urgência que o caso requer e de acordo com a Política de Segurança da Informação da instituição.

3. É necessário que seja executada a atualização do MS Exchange com aplicação de "patch" de correção.

4. Demais links de interesse:
https://us-cert.cisa.gov/ncas/current-activity/2021/08/21/urgent-protect-against-active-exploitation-proxyshell
https://msrc.microsoft.com/update-guide/vulnerability

Equipe CTIR Gov
[TLP:WHITE]