🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Revelan 2 peligrosos día cero de Microsoft Exchange que afectan a 220,000 servidores

Microsoft confirmó el jueves por la noche la existencia de dos vulnerabilidades críticas en su aplicación Exchange. Estas vulnerabilidades ya han comprometido varios servidores y representan un grave riesgo para unos 220,000 más en todo el mundo.

Las vulnerabilidades de seguridad actualmente sin parchear han estado bajo explotación activa desde principios de agosto, cuando la empresa de seguridad con sede en Vietnam GTSC descubrió que las redes de los clientes habían sido infectadas con webshells maliciosas y que el punto de entrada inicial era algún tipo de vulnerabilidad de Exchange. El exploit misterioso parecía casi idéntico a un día cero de Exchange de 2021 llamado ProxyShell. No obstante, todos los servidores de los clientes habían sido parcheados contra la vulnerabilidad, que ha sido identificada como CVE-2021-34473. Eventualmente, los investigadores descubrieron que los hackers desconocidos estaban explotando una nueva vulnerabilidad de Exchange.

Webshells, puertas traseras y sitios falsos

“Después de analizar y usar con éxito el exploit, registramos ataques para recopilar información y crear un punto de apoyo en el sistema de la víctima. El equipo de ataque también usó varias técnicas para crear puertas traseras en el sistema afectado y realizar movimientos laterales a otros servidores en el sistema”. 

“La vulnerabilidad resulta ser tan crítica que le permite al atacante hacer RCE en el sistema comprometido”. 

Publicación de los investigadores realizada el miércoles

El jueves por la noche, Microsoft confirmó que las vulnerabilidades eran nuevas y dijo que estaba luchando por desarrollar y lanzar un parche. Las nuevas vulnerabilidades son: CVE-2022-41040, una vulnerabilidad de falsificación de solicitud del lado del servidor, y CVE-2022-41082, que permite la ejecución remota de código cuando el atacante puede acceder a PowerShell.

“En este momento, Microsoft está al tanto de ataques dirigidos limitados que usan las dos vulnerabilidades para ingresar a los sistemas de los usuarios”. En estos ataques, CVE-2022-41040 puede permitir que un atacante autenticado active de forma remota CVE-2022-41082”.

Declaración de los miembros del equipo del Centro de Respuesta de Seguridad de Microsoft. 

Los miembros del equipo enfatizaron que los ataques exitosos requieren credenciales válidas para al menos un usuario de correo electrónico en el servidor.

La vulnerabilidad afecta a los servidores de Exchange locales y, estrictamente hablando, no al servicio de Exchange alojado de Microsoft. La gran advertencia es que muchas organizaciones que utilizan la oferta en la nube de Microsoft eligen una opción que utiliza una combinación de hardware local y en la nube. Estos entornos híbridos son tan vulnerables como los locales independientes.

Las búsquedas en Shodan indican que actualmente hay más de 200,000 servidores Exchange locales expuestos a Internet y más de 1000 configuraciones híbridas.

Explotación 

La publicación de GTSC del miércoles afirmó que los atacantes están explotando el día cero para infectar servidores con webshells, una interfaz de texto que les permite emitir comandos. Estos webshells contienen caracteres chinos simplificados, lo que lleva a los investigadores a especular que los hackers hablan chino con fluidez. Los comandos emitidos también llevan la firma de China Chopper, una webshell comúnmente utilizada por los atacantes de habla china. Esto incluye varios grupos de amenazas persistentes avanzados que se sabe que están respaldados por la República Popular China.

GTSC continuó diciendo que el malware que los atacantes finalmente instalan emula el servicio web Exchange de Microsoft. También establece una conexión con la dirección IP 137[.]184[.]67[.]33, que está codificada en binario. El investigador independiente Kevin Beaumont dijo que la dirección aloja un sitio web falso con un solo usuario con un minuto de tiempo de inicio de sesión y ha estado activo solo desde agosto.

Luego, el malware envía y recibe datos que se cifran con una clave de cifrado RC4 que se genera en tiempo de ejecución. Beaumont continuó diciendo que el malware de puerta trasera parece ser nuevo. En otras palabras, esta es la primera vez que se usa en el entorno.

Contramedidas

“Los clientes locales de Microsoft Exchange deben revisar y aplicar las siguientes instrucciones de reescritura de URL y bloquear los puertos remotos de PowerShell expuestos”.

Microsoft

Las personas que ejecutan servidores de Exchange locales deben tomar medidas inmediatas. En concreto, deberían aplicar una regla de bloqueo que impida que los servidores acepten patrones de ataque conocidos. La regla se puede aplicar yendo a “Administrador de IIS -> Sitio web predeterminado -> Reescritura de URL -> Acciones“. 

Para aplicar la mitigación a servidores vulnerables, deberás realizar los siguientes pasos:

  • Abrir el Administrador de IIS.
  • Expandir el sitio web predeterminado.
  • Seleccionar Detección automática.
  • En la Vista de características, haz clic en Reescritura de URL.
  • En el panel Acciones en el lado derecho, haz clic en Agregar reglas.
  • Selecciona Solicitar bloqueo y haz clic en Aceptar.
  • Agrega la cadena “.*autodiscover\.json.*\@.*Powershell.*” (excluyendo las comillas) y haz clic en Aceptar.
  • Expande la regla y selecciona la regla con el Patrón “.*autodiscover\.json.*\@.*Powershell.*” y haz clic en Editar en Condiciones.
  • Cambia la entrada de condición de {URL} a {REQUEST_URI}

Dado que los atacantes también pueden obtener acceso a PowerShell Remoting en servidores Exchange expuestos y vulnerables para la ejecución remota de código a través de la explotación CVE-2022-41082, Microsoft también aconseja a los administradores que bloqueen los siguientes puertos remotos de PowerShell para obstaculizar los ataques:

  • HTTP: 5985
  • HTTPS: 5986

GTSC dijo ayer que los administradores que deseen verificar si sus servidores de Exchange ya han sido comprometidos pueden ejecutar el siguiente comando de PowerShell para escanear los archivos de registro de IIS en busca de indicadores de compromiso:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

El aviso de Microsoft contiene una serie de otras sugerencias para detectar infecciones y prevenir vulnerabilidades hasta que haya un parche disponible.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información