Skip to content
23 marzo 21

Microsoft Exchange Server Vulnerabilities Mitigations – updated March 15, 2021

por WebMaster
Para comprobar si el servidor es vulnerable se puede utilizar el siguiente
script del fabricante:
 
 
Adicionalmente, si quieren realizar una revisión en su red, pueden utilizar
este comando:
 
nmap -Pn -n –script=http-vuln-exchange,http-vuln-cve2021-26855 -p 443
195.235.99.173
 
que hace uso de los siguientes scripts:
 
 
Se recomienda la actualización de los sistemas afectados lo antes posible o
al menos, de forma temporal hasta poder realizar la actualización, no
permitir el acceso desde internet y aplicar las medidas de mitigación
indicadas por Microsoft:
 
 
Se han detectado múltiples actores maliciosos buscando y explotando estas
vulnerabilidades, los equipos que no hayan sido todavía parcheados podrían
considerarse comprometidos, por lo que se recomienda como mínimo realizar
un análisis en busca de webshells y otros indicadores de compromiso.
 
Explotando estas vulnerabilidades un atacante podría:
– Suplantar el servidor.
– Cargar archivos maliciosos en el sistema.
– Ejecutar código sin necesidad previa de autenticación.
– Robar información del servidor.
– Comprometer incluso el directorio activo mediante la generación de
«Golden tickets».
 
Sería recomendable recoger las evidencias forenses del servidor Exchange,
ponerlo en cuarentena, y si es posible, instalar uno nuevo desde un backup
confiable. Si existiesen evidencias de uso de alguna webshell, convendría
asimismo reconstruir por completo el directorio activo, forzando cambios de
contraseña para todos los usuarios.
 
Microsoft ha actualizado su herramienta MSERT que permite realizar escaneos
de seguridad para detectar la existencia de posibles webshells de
ProxyLogon y posteriormente eliminarlas. En el siguiente enlace dispone de
más información sobre la instalación y ejecución de la herramienta MSERT:
 
 
Disponen de más información sobre las vulnerabilidades e identificación de
evidencias en los siguientes enlaces:
 
 
 
 
 
 
 
Las actualizaciones para estas vulnerabilidades se encuentran disponibles
en:
 
 
To check if the server is vulnerable you can use the following manufacturer
script:
 
 
Additionally, if you want to perform a check on your network, you can use
this command:
 
nmap -Pn -n –script=http-vuln-exchange,http-vuln-cve2021-26855 -p 443
195.235.99.173
 
which makes use of the following scripts:
 
 
Multiple malicious actors have been detected looking for and exploiting
these vulnerabilities, computers that have not yet been patched could be
considered compromised, so it is recommended as a minimum to perform an
analysis in search of webshells and other indicators of compromise.
 
By exploiting these vulnerabilities an attacker could:
– Impersonate the server.
– Upload malicious files to the system.
– Execute code without prior authentication.
– Steal information From the server.
– Compromise even the active directory by generating “Golden tickets”.
 
It would be advisable to collect forensic evidence From the Exchange
server, quarantine it, and if possible, install a new one From a reliable
backup. If there is evidence of the use of a webshell, it would also be
advisable to completely rebuild the active directory, forcing password
changes for all users.
 
Microsoft has updated its MSERT tool that allows security scans to be
carried out to detect the existence of possible ProxyLogon webshells and
subsequently eliminate them. In the following link you have more
information about the installation and execution of the MSERT tool:
 
 
You have more information about vulnerabilities and identification of
evidence in the following links:
 
 
 
 
 
 
 
Updates for these vulnerabilities are available at:
 
 
10 febrero 14

HAProxy – IIS and X-Forward-For Header

por WebMaster

So, you’re using IIS and you want to track your clients by IP address in your IIS logs. Unfortunately, out of the tin, this is not directly supported. The X-Forwarded-For (XFF) HTTP header is an industry standard method to find the IP address of a client machine that is connecting to your web server via an HTTP proxy, load balancer etc. Fortunately, depending on the version of IIS being used, there are a number of ways to enable this.

Leer más…

6 febrero 14

HAProxy – Instalación, configuración, actualización….

por WebMaster

Pruebas con HAProxy.  Muy buena experiencia general, estupendo balanceo con muuuchas opciones.

Para más información y detalles de HAProxy

Instalar la distribucion de linux deseada, en mi caso opté por Debian, Ubuntu lo traé integrado en el repositorio.

Configurar las tarjetas de red con ip´s fijas y las que sean necesarias según el entorno, para ello editamos el fichero /etc/network/interfaces:

Leer más…

3 febrero 14

XBMCbuntu, upgrading XBMC via ppa (Frodo 12.2 to 12.3)

por WebMaster

Upgrading XBMC via ppa in XBMCbuntu

see also: What might break when upgrading to v12

You dont have to necessarily wipe your current install to try a new Version of XBMC, like a nightly version or beta for example, you can just fire up Putty or a shell in Linux/OS X.

sudo apt-get install python-software-properties pkg-config
sudo add-apt-repository -r ppa:whatever-ppa-you-have-now
sudo add-apt-repository ppa:whatever-ppa-here
sudo apt-get update
sudo apt-get upgrade
sudo apt-get install xbmc xbmc.bin

Leer más…

5 septiembre 13

How To Update Qnap Firmware

por WebMaster

This Document contains these titles;

I – Before Starting

II – How to Upgrade Firmware With Qnapfinder

III – How to Upgrade Firmware With Qnap Interface

IV – How to Upgrade Firmware With Putty

V – How to Upgrade Firmware With Qnap Live Update Feature

Leer más…

25 junio 13

Instalación de KMS

por WebMaster

1. Introducción

En el post anterior se habló de las opciones para activar Windows usando las claves MAK o KMS. En esta ocasión pondré el procedimiento paso a paso de la instalación del servicio, sobre un servidor con Windows 2008 R2 (opción recomendada).

Algo que quiero hacer notar, es que este servicio es “ultraliviano”, por lo que bajo ningún caso se requiere un servidor dedicado, a menos que las políticas internas de la empresa lo dicten así.

Leer más…

25 junio 13

Activación de Windows

por WebMaster

Introducción

En muchos empresas me he encontrado con casos donde se utilizan claves de activación equivocadas o desconocimiento del significado/utilización de la clave KMS o MAK. Estas claves nacieron con Windows Vista, pero debido a la gran adopción de Windows 7, se han hecho más utilizadas ahora. En esta serie de post, describiré las características de cada clave, sus implicancias y el procedimiento de instalación de un servidor KMS.

La activación de Windows usando claves MAK o KMS, se requiere para los productos Windows Vista, 2008, 7 y 2008 R2 y de ellos en adelante. Sin embargo, el proceso de activación es algo que se empezó a utilizar desde el viejo y querido Windows XP.

Leer más…

19 junio 13

Usando BgInfo

por WebMaster

BgInfo es la típica utilidad de toda la vida (por cierto, cómo no, de Sysinternals) que nos puede servir para aclararnos un poco la vida, sobre todo si andamos en entornos grandes y desconocemos en qué servidor andamos logueándonos, o para hacer demos o cursos y que los alumnos vean cláramente en qué servidor estamos. Es una aplicación totalmente parametrizable en la que nos mostrará bastante información sobre el equipo donde se ejecuta. Podemos configurar que muestre en pantalla (combinado con el fondo de pantalla) el nombre del equipo, su dirección IP, sistema operativo, nivel de service pack, hora de arranque, tipo de CPU, puerta de enlace, máscara de red, servidores DNS, servidor DHCP, espacio libre en discos, discos duros disponibles, versión de Internet Explorer, dominio al que pertenece, controlador de dominio que le validó, Memoria RAM, tarjeta de red, velocidad de la red, tipo de equipo, usuario en uso, dominio logueado…

Leer más…

18 junio 13

Setting up a Reverse Proxy using IIS, URL Rewrite and ARR

por WebMaster

Today there was a question in the IIS.net Forums asking how to expose two different Internet sites from another site making them look like if they were subdirectories in the main site.

So for example the goal was to have a site: www.site.com expose a www.site.com/company1 and a www.site.com/company2 and have the content from “www.company1.com” served for the first one and “www.company2.com” served in the second one. Furthermore we would like to have the responses cached in the server for performance reasons. The following image shows a simple diagram of this:

Leer más…

18 junio 13

iSCSI Best Practices (Microsoft, EMC, VMware) – Summarized

por WebMaster

This document summarizes the best practices of iSCSI usage as described in the following guides from MS, EMC, and VMware.

MS & iSCSI –

Exchange:

– Microsoft Exchange Server can store its program files, mailboxes, public folders, logs and other data on iSCSI disk volumes in both cluster and non cluster configurations.

– Keep the Exchange disks in a separate pool on the array.

SQL Server – Microsoft SQL Server can store its program files, logs and other data on iSCSI disk volumes in both cluster and non cluster configurations

Leer más…

Última actualización 19/09/2021 11:42