¿Qué es ProxyLogon?

ProxyLogon es una vulnerabilidad la cual se empezó a escuchar a inicios de Marzo, esta vulnerabilidad fue descubierta y utilizada por criminalidades chinos, el objetivo de estos atacantes era robar información al gobierno de Estados Unidos. Microsoft no detecto esta vulnerabilidad hasta 2 meses después de haber sido utilizada con ello comprometiendo una gran cantidad de equipos a nivel mundial.

¿Que hace esta vulnerabilidad?

ProxyLogon es una vulnerabilidad que realiza un SSFR (Server Side Request Forgery), en otras palabras permite realizar una petición del lado del servidor, permitiendo el secuestro de una sesión de administración. Esto ademas de permitir descargar una lista de acceso a los correos, brinda el atacante la opción de realizar una explotación mediante  ejecución de código remoto CVE-2021-2657.

Equipos vulnerables:

• Microsoft Exchange server 2013
• Microsoft Exchange server 2016
• Microsoft Exchange server 2019

Estado de la seguridad en México:

En la actualidad en México existen un aproximado de 601 servidores activos expuestos a esta vulnerabilidad que comprometen tanto al sector privado, público y gobierno..

Dentro de las estadísticas generadas por nuestro sistema de monitoreo se demostró que 8 de cada 10 servidores mediante un análisis pasivo no intrusisvo. Esto ocasionando posibles exposiciones a las instituciones a ataques de Ransomware.