ProxyLogon (CVE-2021-26855)
¿Qué es ProxyLogon (CVE-2021-26855)?
ProxyLogon (CVE-2021-26855)SSRF preautenticado de 2021 en Microsoft Exchange Server que, encadenado con otras tres CVE, permitía a atacantes no autenticados tomar Exchange on-prem.
ProxyLogon (CVE-2021-26855) es un SSRF preautenticado en Microsoft Exchange Server que permite al atacante enviar peticiones HTTP arbitrarias en nombre del servidor Exchange. Encadenado con CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, alcanzaba ejecución remota de código sin autenticación en Exchange on-prem y permitió plantar webshells en decenas de miles de buzones a principios de 2021. Microsoft atribuyó la explotación inicial al grupo HAFNIUM; en pocos días se sumaron múltiples actores. Defensas: aplicar las actualizaciones de seguridad de marzo de 2021 (y CU posteriores), ejecutar Microsoft Safety Scanner y los scripts de IOC de HAFNIUM, y migrar a Exchange Online cuando sea posible.
● Ejemplos
- 01
HAFNIUM explotando ProxyLogon para instalar webshells China Chopper en miles de servidores Exchange.
- 02
Grupos de cryptojacking dejando mineros XMRig en hosts Exchange comprometidos vía ProxyLogon.
● Preguntas frecuentes
¿Qué es ProxyLogon (CVE-2021-26855)?
SSRF preautenticado de 2021 en Microsoft Exchange Server que, encadenado con otras tres CVE, permitía a atacantes no autenticados tomar Exchange on-prem. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.
¿Qué significa ProxyLogon (CVE-2021-26855)?
SSRF preautenticado de 2021 en Microsoft Exchange Server que, encadenado con otras tres CVE, permitía a atacantes no autenticados tomar Exchange on-prem.
¿Cómo defenderse de ProxyLogon (CVE-2021-26855)?
Las defensas contra ProxyLogon (CVE-2021-26855) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para ProxyLogon (CVE-2021-26855)?
Nombres alternativos comunes: CVE-2021-26855, Cadena SSRF de Exchange.