🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Revelan 4 vulnerabilidades zero-day explotadas activamente en Microsoft Exchange

Microsoft ha lanzado parches de emergencia para abordar cuatro vulnerabilidades de seguridad no reveladas anteriormente en Exchange Server. Según Microsoft, las vulnerabilidades están siendo explotadas activamente por un nuevo actor de amenazas chino con el objetivo de perpetrar el robo de datos.

Los ataques han sido descritos como “limitados y dirigidos” por el Centro de inteligencia de amenazas de Microsoft (MSTIC). El MSTIC dijo que el atacante usó estas vulnerabilidades para acceder a los servidores de Exchange locales. Esto a su vez otorgó acceso a cuentas de correo electrónico. Y, allanó el camino para la instalación de malware adicional para facilitar acceso a largo plazo a los entornos de las víctimas.

El gigante tecnológico atribuyó principalmente la campaña con certeza a un actor de amenazas llamado HAFNIUM. HAFNIUM es un colectivo de hackers patrocinado por un estado que opera desde China, aunque sospecha que otros grupos también pueden estar involucrados.

Al discutir las tácticas, técnicas y procedimientos (TTP) del grupo por primera vez, Microsoft describe a HAFNIUM como un “actor altamente calificado y sofisticado”. El grupo destaca principalmente entre entidades de los Estados Unidos por filtrar información confidencial de una variedad de sectores de la industria. Por ejemplo, investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONG´s.

HAFNIUM

Se cree que HAFNIUM organiza sus ataques aprovechando servidores privados virtuales alquilados en los Estados Unidos en un intento de encubrir su actividad maliciosa.

El ataque consta de tres etapas. La primera implica obtener acceso a un servidor Exchange, ya sea con contraseñas robadas o mediante el uso de vulnerabilidades no descubiertas previamente. El siguiente paso es la implementación de una shell web para controlar el servidor comprometido de forma remota. 

El último eslabón de la cadena de ataque utiliza el acceso remoto. Esto para saquear los buzones de correo de la red de una organización y exportar los datos recopilados a sitios para compartir archivos como MEGA.

Para lograr esto, utilizan hasta cuatro vulnerabilidades zero-day descubiertas por investigadores de Volexity y Dubex como parte de la cadena de ataque:

  • CVE-2021-26855: Es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) en Exchange Server
  • CVE-2021-26857: una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada
  • CVE-2021-26858: una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación en Exchange, y
  • CVE-2021-27065: una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación en Exchange

Las vulnerabilidades afectan a Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 y Microsoft Exchange Server 2019. No obstante, Microsoft dijo que está actualizando Exchange Server 2010 para fines de “Defensa en profundidad”.

Hay que recalcar que el ataque inicial requiere una conexión no confiable al puerto 443 del servidor Exchange. Por lo tanto, la compañía señala que las organizaciones pueden mitigar el problema restringiendo las conexiones no confiables. Asimismo, una VPN para separar el servidor Exchange del acceso externo.

Exploits

Microsoft ha enfatizado que los exploits no estaban relacionados con las infracciones relacionadas con SolarWinds. Además, dijeron que han informado a las agencias gubernamentales apropiadas de Estados Unidos sobre la nueva ola de ataques. Sin embargo, la compañía no dio más detalles sobre cuántas organizaciones fueron atacadas y si los ataques tuvieron éxito.

Las campañas de intrusión parecen haber comenzado alrededor del 6 de enero de 2021. Volexity advirtió que ha detectado una explotación activa en el entorno de múltiples vulnerabilidades de Microsoft Exchange utilizadas para robar correo electrónico y comprometer redes.

“Los atacantes parecen haber pasado desapercibidos inicialmente en gran parte simplemente robando correos electrónicos. Empero, recientemente comenzaron a lanzar exploits. Esto según explicaron Josh Grünzweig, Matthew Meltzer, Sean Koessel, Steven Adair, y Thomas Lancaster, investigadores de Volexity.

“Desde la perspectiva de Volexity, esta explotación parece involucrar a múltiples operadores. Los atacantes utilizan una amplia variedad de herramientas y métodos para descargar credenciales, moverse lateralmente y otros sistemas de puerta trasera“.

Parches

Aparte de los parches, el analista senior de inteligencia de amenazas de Microsoft Kevin Beaumont también ha creado un complemento de nmap. El complemento se puede usar para escanear una red en busca de servidores de Microsoft Exchange potencialmente vulnerables.

Dada la gravedad de las vulnerabilidades, los parches se liberaron rápidamente. No es de extrañar que los parches se hayan implementado una semana antes de la programación del martes de parches de la compañía. Recordemos que generalmente ese día se reserva para el segundo martes de cada mes. Recomendamos a los clientes que utilicen una versión vulnerable de Exchange Server que instalen las actualizaciones de inmediato para frustrar estos ataques.

“Hemos trabajado rápidamente para implementar una actualización para las vulnerabilidades. Sabemos que muchos actores estatales y grupos criminales se moverán rápidamente para aprovechar cualquier sistema sin parches”. “La aplicación inmediata de los parches actuales es la mejor protección contra este ataque.

Tom Burt, vicepresidente corporativo de seguridad de Microsoft.
Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información