Se duplica cada dos horas el número de intentos de explotación de las vulnerabilidades que afectan a Microsoft Exchange Server




por Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000


El 2 de marzo de 2021, Microsoft dio a conocer que un grupo de atacantes vinculados a China habían vulnerado Microsoft Exchange Server, su servicio de correo electrónico. Por lo anterior, Microsoft lanzó un conjunto de parches para las versiones 2013, 2016 y 2019 de Exchange Server que sirven para resolver una serie de vulnerabilidades que permitirían a los atacantes tomar el control de cualquier servidor Exchange sin necesidad de conocer las credenciales de autenticación.

Microsoft Exchange Server es un sistema de mensajería con un servidor de correo, un programa de email y aplicaciones de trabajo en grupo. Exchange se ejecuta en los servidores de Microsoft Servers y está diseñado para ser usado en un entorno empresarial.

Pero lejos de mitigarse el ataque, parece que los cibercriminales redoblaron su actividad después de que se hiciese pública la brecha de seguridad, y en la actualidad ya han vulnerado al menos 30,000 instituciones solo en Estados Unidos a raíz de esta brecha.

Un día después de publicar los parches, se observó a varios grupos de delincuentes escanear y comprometer de forma masiva los servidores Exchange. Cabe señalar que todos estos ataques estaban siendo llevados a cabo por grupos APT (amenaza persistente avanzada), especializados en espionaje, excepto uno que suele realizar campañas de minería de criptomonedas.

El grupo APT ha acelerado sus ataques para intentar conseguir acceso a todos los servidores de Exchange posibles que no estén parcheados, un incremento de actividad dañina que se cree que ha afectado ya a cientos de miles de servidores en todo el mundo, lo que convierte a este ataque en mayor que el registrado en Solar Winds. Además, aunque las organizaciones que hayan sufrido el ataque apliquen el parche publicado por Microsoft, puede que sigan afectadas por él.

De igual forma, de acuerdo con datos de la unidad de investigación de SILIKN, se han registrado cientos de intentos de explotación de vulnerabilidades contra empresas de todo el mundo relacionados con cuatro vulnerabilidades específicas que actualmente afectan a Microsoft Exchange Server. Sólo en las últimas 72 horas, la unidad de investigación de SILIKN ha observado que el número de intentos de explotación en las empresas se duplican cada dos horas.

En este momento, áreas completas de ciberseguridad — en todo el mundo — están ejecutando acciones de prevención para hacer frente a los atacantes que producen exploits (programas o códigos que se aprovechan de una vulnerabilidad en una aplicación o sistema, de forma que el atacante pueda usarlos en su beneficio) para aprovechar las debilidades de Microsoft Exchange.

Son muchas las organizaciones que están en riesgo, pues si el servidor de Microsoft Exchange de una empresa tiene acceso a Internet y no se ha actualizado con los últimos parches, ni se ha protegido con un software de terceros, entonces debería considerar que su servidor está en peligro. Los servidores comprometidos podrían permitir a un cibercriminal no autorizado extraer todos los correos electrónicos corporativos y ejecutar un código malicioso dentro de una empresa con permisos elevados.

¿Cuáles son estas vulnerabilidades críticas?

  • CVE-2021–26858 — es una vulnerabilidad de escritura arbitraria de archivos después de la autenticación en Exchange. Si Hafnium pudiera autenticarse en el servidor Exchange, podría utilizar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podrían autenticarse explotando la vulnerabilidad CVE-2021–26855 SSRF o comprometiendo las credenciales de un administrador legítimo.
  • CVE-2021–26855 — es una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Exchange que permite al ciberdelincuente enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.
  • CVE-2021–27065 — es una vulnerabilidad de escritura arbitraria de archivos posterior a la autenticación en Exchange. Si Hafnium pudiera autenticarse con el servidor Exchange, podría utilizar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podrían autenticarse explotando la vulnerabilidad CVE-2021–26855 SSRF o comprometiendo las credenciales de un administrador legítimo.
  • CVE-2021–26857 — es una vulnerabilidad de deserialización insegura en el servicio de Mensajería Unificada. La deserialización insegura es cuando los datos no confiables controlados por el usuario son deserializados por un programa. La explotación de esta vulnerabilidad da a Hafnium la capacidad de ejecutar código como SYSTEM en el servidor Exchange. Esto requiere el permiso del administrador u otra vulnerabilidad para explotarla.

Las recomendaciones para mitigar en la medida de lo posible este ataque, son las siguientes:

  • Instalar los parches liberados por Microsoft de forma inmediata. Cabe mencionar que esto solo corrige las vulnerabilidades, pero no erradica las herramientas de los atacantes.
  • Utilizar la información proporcionada por Microsoft para determinar si el sistema de la empresa se ha visto comprometido a través de alguno de los ataques detectados y llevar a cabo un análisis específico y exhaustivo de los sistemas.
  • Desconectar el sistema comprometido de inmediato, para cerrar la puerta de acceso del atacante, y reconstruirlo por completo para eliminar del sistema a los atacantes y sus herramientas. Además, se deben instalar los parches en el sistema antes de volver a conectarlo y ponerlo nuevamente en servicio.
  • Hacer un monitoreo y escaneo de seguridad a detalle. El objetivo es identificar cualquier comportamiento anormal en la red, así como identificar otro malware o herramientas que los atacantes puedan haber colocado en los sistemas y en la red.

Mientras las investigaciones continúan es importante tomar las medidas adecuadas. Para ello debemos estar pendientes de las actualizaciones que emita Microsoft y las recomendaciones de los especialistas en ciberseguridad que van encontrando más información conforme avanzan sus investigaciones.

Para más información, visite: https://www.silikn.com/