Microsoft publica parches de emergencia durante 4 días 0 explotados en Exchange


La palabra NULL-TAG está oculta en una pantalla llena de unos y ceros.

Microsoft insta a los clientes a que apliquen parches de emergencia lo antes posible para protegerse de los piratas informáticos altamente capacitados que están explotando activamente cuatro vulnerabilidades de día cero en Exchange Server.

El fabricante de software dijo que los piratas informáticos que trabajaban en nombre del gobierno chino utilizaron exploits previamente desconocidos para piratear el software local de Exchange Server que está completamente parcheado. Hasta ahora, Hafnium, como Microsoft llama a los piratas informáticos, es el único grupo que ha explotado los agujeros de seguridad. Sin embargo, la empresa dijo que eso podría cambiar.

«Si bien trabajamos rápidamente para proporcionar una actualización de las vulnerabilidades de hafnio, sabemos que muchos actores estatales y grupos criminales actuarán rápidamente para aprovechar cualquier sistema sin parches», dijo el vicepresidente corporativo de Seguridad y Confianza del Cliente de Microsoft, Tom Burt. en un post publicado el martes por la tarde. «La aplicación inmediata de los parches de hoy es la mejor defensa contra este ataque».

Burt identificó los objetivos solo para decir que son empresas que utilizan software Exchange Server local. Dijo que el hafnio opera fuera de China principalmente para robar datos de investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, empresas de defensa, grupos de expertos políticos y organizaciones no gubernamentales con sede en Estados Unidos.

Burt agregó que Microsoft no sabe que está apuntando a consumidores individuales o que las vulnerabilidades afectan a otros productos de Microsoft. También dijo que los ataques no están relacionados de ninguna manera con los ataques relacionados con SolarWinds, que han violado al menos nueve agencias gubernamentales de EE. UU. Y unas 100 empresas privadas.

Los días cero están disponibles en Microsoft Exchange Server 2013, 2016 y 2019. Las cuatro vulnerabilidades son:

  • CVE-2021-26855, una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que podría permitir al atacante enviar solicitudes HTTP arbitrarias y autenticarse como un servidor de Exchange.
  • CVE-2021-26857, una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada. La deserialización insegura ocurre cuando un programa deserializa datos que no son confiables y controlables por el usuario. La explotación de esta vulnerabilidad permitió que el código de Hafnium se ejecutara como un SISTEMA en el servidor Exchange. Esto requiere derechos administrativos o alguna otra vulnerabilidad para ser explotada.
  • CVE-2021-26858, una vulnerabilidad al escribir cualquier archivo después de la autenticación. Si Hafnium pudiera autenticarse con el servidor de Exchange, podría usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. El grupo puede autenticarse aprovechando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.
  • CVE-2021-27065, una vulnerabilidad al escribir cualquier archivo después de la autenticación. Si Hafnium pudiera autenticarse con el servidor de Exchange, la vulnerabilidad podría usarse para escribir un archivo en cualquier ruta del servidor. La autenticación se puede realizar aprovechando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.

El ataque, dijo Burt, involucró los siguientes pasos:

  1. Obtenga acceso a un servidor de Exchange, ya sea con contraseñas robadas o utilizando los días cero para disfrazar a los piratas informáticos como personal que debería tener acceso
  2. Cree un shell web para controlar de forma remota el servidor comprometido
  3. Utilice este acceso remoto para robar datos de la red de un objetivo

Como es habitual con Hafnium, el grupo se operaba desde servidores privados virtuales alquilados en los EE. UU. Volexity, una empresa de seguridad que informó en privado de los ataques a Microsoft, dijo que los ataques parecían haber comenzado el 6 de enero.

«Si bien los atacantes inicialmente parecían haber pasado desapercibidos simplemente robando correos electrónicos, recientemente han lanzado exploits para afianzarse», escribieron los investigadores de Volexity Josh Grunzweig, Matthew Meltzer, Sean Koessel, Steven Adair y Thomas Lancaster. «Desde la perspectiva de Volexity, esta explotación parece involucrar a múltiples operadores que utilizan una variedad de herramientas y métodos para asegurar las credenciales, moverse hacia los lados y desarrollar otros sistemas de puerta trasera».

Puede encontrar más detalles, incluidos los indicadores de compromiso, aquí y aquí.

Además de Volexity, Microsoft le ha dado crédito a la compañía de seguridad Dubex por reportar varias partes del ataque a Microsoft y ayudar con una investigación posterior. Las organizaciones que utilizan una versión vulnerable de Exchange Server deben aplicar los parches lo antes posible.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *