El 2 de marzo de 2021, Microsoft lanzó una  actualización de seguridad que describe varias vulnerabilidades de 0 días dirigidas a servidores de Microsoft Exchange locales. Cuatro vulnerabilidades de ejecución de código remoto publicado se relacionan con esta actividad, para la cual Microsoft lanzó un  parche . Las vulnerabilidades incluyen  CVE-2021-26855 ,  CVE-2021-26857 ,  CVE-2021-26858 y  CVE-2021-27065 .

Además de verificar la información publicada por otros miembros de la comunidad de seguridad, Elastic Security identificó indicadores de compromiso (IoC) que indican los objetivos del adversario para obtener credenciales, mantener la persistencia, realizar reconocimientos y robar datos. Se recomienda a los usuarios con servidores de Exchange locales que apliquen parches lo antes posible y que sean conscientes de que las amenazas de todo tipo intentan activamente explotar estas vulnerabilidades.

Elastic Security proporciona una descripción general técnica de las capacidades de Elastic Endpoint y Elastic Endgame relacionadas con esta actividad en nuestro foro de discusión . La descripción general describe ocho reglas Elastic Endpoint existentes y dos nuevas, así como seis reglas Elastic Endgame existentes que identifican comportamientos de amenazas. Para los usuarios de Elastic Endgame, proporcionamos tres consultas EQL adicionales que detectan partes del ataque. Según las observaciones de telemetría, también incluimos cinco IoC.

Visite el foro de discusión para obtener detalles completos sobre nuestros IoC identificados.