Antes que nada: Para minimizar o evitar impactos de esta situación, Microsoft recomienda que por favor tomes medidas inmediatas para aplicar las revisiones de las implementaciones locales de Exchange que tengas o estés administrando. La primera prioridad son los servidores accesibles desde Internet (por ejemplo, servidores que publican Outlook en la web/OWA y ECP).

¿De qué se trata del hackeo masivo que se atribuye a Hafnium y que afectó a unas 30.000 organizaciones de EEUU?

Las vulnerabilidades están siendo explotadas por Hafnium. Otros ciberatacantes están siguiendo su ejemplo.

Cuatro vulnerabilidades de día cero en Microsoft Exchange Server están siendo explotadas activamente por un grupo de amenazas patrocinado por el estado de China y parecen haber sido adoptadas por otros ciberatacantes en ataques generalizados.

Aunque no se cree que esté relacionado con el ataque a la cadena de suministro de SolarWinds, que ha afectado a unas 18.000 organizaciones en todo el mundo -hasta ahora-, existe la preocupación de que los retrasos en la aplicación de parches a los servidores vulnerables puedan tener un impacto similar, o peor, en las empresas.

 

¿Cuáles son las vulnerabilidades del Microsoft Exchange Hack y por qué son importantes? 

Las vulnerabilidades críticas afectan a Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019 locales. Sin embargo, Exchange Online no está afectado.

El ataque se realiza explotando primero una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) que permite robar todo el contenido del buzón de un usuario. El atacante sólo necesita conocer el servidor que ejecuta el software de Exchange y la cuenta que quiere robar

CVE-2021-26855: CVSS 9.1: una vulnerabilidad de falsificación de solicitudes en el lado del servidor (SSRF) que lleva a que atacantes no autentificados envíen solicitudes HTTP falsificadas. Los servidores deben ser capaces de aceptar conexiones no confiables a través del puerto 443 para que el fallo se active.

CVE-2021-26857: CVSS 7.8: una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada Exchange, que permite el despliegue de código arbitrario bajo SYSTEM. Sin embargo, esta vulnerabilidad debe combinarse con otra o deben utilizarse credenciales robadas.

CVE-2021-26858: CVSS 7.8: una vulnerabilidad de escritura arbitraria en archivos después de la autenticación para escribir en rutas. 

CVE-2021-27065: CVSS 7.8: una vulnerabilidad de escritura arbitraria en archivos después de la autenticación para escribir en rutas. 

Si se utilizan en una cadena de ataque, todas estas vulnerabilidades pueden conducir a la ejecución remota de código (RCE), al secuestro del servidor, a las puertas traseras, al robo de datos y, potencialmente, a un mayor despliegue de malware.

En resumen, Microsoft afirma que los atacantes se aseguran el acceso a un servidor Exchange a través de estos fallos o de credenciales robadas y pueden entonces crear una shell web para secuestrar el sistema y ejecutar comandos de forma remota. 

“Estas vulnerabilidades se utilizan como parte de una cadena de ataque”, dice Microsoft. “El ataque inicial requiere la capacidad de realizar una conexión no fiable al puerto 443 del servidor de Exchange. Esto puede protegerse restringiendo las conexiones no confiables, o configurando una VPN para separar el servidor Exchange del acceso externo. El uso de esta mitigación sólo protegerá contra la parte inicial del ataque; otras partes de la cadena pueden activarse si un atacante ya tiene acceso o puede convencer a un administrador para que ejecute un archivo malicioso.”

¿Quién es el responsable de los ataques conocidos?

Microsoft afirma que los ataques que utilizan los fallos de día cero han sido rastreados hasta Hafnium. 

Hafnium es un grupo de amenazas persistentes avanzadas (APT) patrocinado por el Estado de China que es descrito por la compañía como un “actor altamente cualificado y sofisticado.” 

Aunque Hafnium se origina en China, el grupo utiliza una red de servidores privados virtuales (VPS) ubicados en los Estados Unidos para tratar de ocultar su verdadera ubicación. Entre las entidades que han sido objetivo del grupo se encuentran grupos de reflexión, organizaciones sin ánimo de lucro, contratistas de defensa e investigadores.

Le recomendamos adoptar tanto las medidas de prevención como de investigación.

¿Cómo puedo comprobar mis servidores y su estado de vulnerabilidad? ¿Qué hago ahora?

Microsoft ha instado a los administradores de TI y a los clientes a aplicar las correcciones de seguridad inmediatamente. Sin embargo, el hecho de que las correcciones se apliquen ahora, no significa que los servidores no hayan sido ya objeto de un backdog o de algún otro tipo de compromiso.

También hay disponibles guías de opciones de mitigación provisionales si no es posible aplicar los parches inmediatamente. 

El equipo de Microsoft ha publicado un script en GitHub a disposición de los administradores de TI para que lo ejecuten, que incluye indicadores de compromiso (IoC) vinculados a las cuatro vulnerabilidades. Los IoCs se enumeran por separado aquí. 

El 8 de marzo, Microsoft publicó un conjunto adicional de actualizaciones de seguridad que pueden aplicarse a las Actualizaciones Acumulativas (CU) más antiguas y no soportadas como medida temporal. 

La CISA emitió una directiva de emergencia el 3 de marzo en la que exigía a los organismos federales que analizaran inmediatamente cualquier servidor que ejecutara Microsoft Exchange y que aplicaran las correcciones suministradas por la empresa. 

Si hay algún indicador de comportamiento sospechoso que se remonte al 1 de septiembre de 2020, la CISA exige a las agencias que los desconecten de Internet para mitigar el riesgo de más daños. El FBI también ha emitido un comunicado sobre la situación.

Microsoft sigue investigando y, a medida que salga a la luz más información, la actualizaremos.

Fuente: Microsoft

Puede contactarse sin compromiso con nuestros especialistas en seguridad para que podamos analizar cómo está protegiéndose su organización en las distintas capas de seguridad corporativas.

Si no estás seguro de cómo empezar, dejá tus datos y nos contactaremos a la brevedad.

Error: Formulario de contacto no encontrado.

Podemos acompañarte en tus proyectos end-to-end. Trabajemos juntos.