Microsoft publicó varias vulnerabilidades de tipo zero-day que afectan a Microsoft Exchange Server, ya que ha detectado un grupo APT patrocinado por el estado de China conocido como Hafnium que está explotando estas vulnerabilidades contra organizaciones estadounidenses, desde servidores privados virtuales (VPS) alquilados en Estados Unidos, con el fin de robar información.

Se trata de cuatro vulnerabilidades de día cero: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065; que explotándolas de forma combinada, pueden dar acceso a los servidores de Microsoft Exchange, robar las credenciales de acceso al correo electrónico e introducir malware para aumentar el acceso a la red.

Por ello, desde unit221b han decidido lanzar «Check Your OWA» para que podamos comprar si nuestros servidores de Exchange están o no comprometidos por estas vulnerabilidades.

Check Your OWA.

Se trata de un servicio para ayudar en la notificación de víctimas en función de listas de servidores Exchange comprometidos con Outlook Web Access (OWA) habilitado. Esto incluye las direcciones IP / dominios afectados, así como si los actores de esta primera ola de ataques cargaron correctamente un shell. 

El servicio no realiza ningún escaneo en vivo de nuestro servidor Exchange, y si parcheamos la vulnerabilidad con éxito, es posible que, aún así, sigamos apareciendo.

Check Your OWA

¿Cómo lo uso?

Hay dos formas de saber si aparecemos en la lista. Accedemos a la web directamente desde nuestro servidor Exchange y compararán nuestra dirección IP con su lista. En caso de coincidencia, el sitio generará una ventana emergente con una advertencia. 

La segunda forma es ingresar una dirección de correo electrónico y nos enviarán un correo electrónico con la respuesta. El correo electrónico le dirá si su dominio coincide con alguno de la lista. Como esta es una situación en evolución y cada día se piratean más máquinas, si no aparece en la lista y ejecuta un servidor Exchange, eso no significa que esté seguro.

Enlace al recurso