Microsoft advirtió el viernes sobre ataques activos que explotan servidores Exchange sin parches realizados por múltiples actores de amenazas, ya que se cree que la campaña de piratería ha infectado a decenas de miles de empresas, entidades gubernamentales en los EE. UU., Asia y Europa.
La compañía dijo que «sigue viendo un mayor uso de estas vulnerabilidades en ataques dirigidos a sistemas sin parches por parte de múltiples actores maliciosos más allá de HAFNIUM», lo que indica una escalada de que las infracciones ya no son «limitadas y dirigidas» como se consideraba anteriormente.
Según el periodista independiente de seguridad cibernética Brian Krebs, al menos 30 000 entidades en los EE. UU. (principalmente pequeñas empresas, pueblos, ciudades y gobiernos locales) se han visto comprometidas por un grupo chino «inusualmente agresivo» que se ha propuesto robar correos electrónicos de organizaciones víctimas. al explotar fallas previamente no reveladas en Exchange Server.
También se informa de víctimas fuera de los EE. UU., con sistemas de correo electrónico pertenecientes a empresas en Noruega, la República Checa y los Países Bajos afectados por una serie de incidentes de piratería que abusan de las vulnerabilidades. La Autoridad de Seguridad Nacional de Noruega dijo que implementó un análisis de vulnerabilidad de las direcciones IP en el país para identificar servidores de Exchange vulnerables y «notificar continuamente a estas empresas».
La escala colosal de la ofensiva en curso contra los servidores de correo electrónico de Microsoft también eclipsa la ola de piratería de SolarWinds que salió a la luz en diciembre pasado, que se dice que se dirigió a unos 18,000 clientes del proveedor de herramientas de administración de TI. Pero como sucedió con el ataque de SolarWinds, es probable que los atacantes solo persiguieran objetivos de alto valor en función de un reconocimiento inicial de las máquinas víctimas.
Servidores de Exchange sin parches en riesgo de explotación
Una explotación exitosa de las fallas permite a los adversarios ingresar a los servidores de Microsoft Exchange en los entornos de destino y permitir la instalación de puertas traseras basadas en la web no autorizadas para facilitar el acceso a largo plazo. Con múltiples actores de amenazas aprovechando estas vulnerabilidades de día cero, se espera que las actividades posteriores a la explotación difieran de un grupo a otro según sus motivos.
La principal de las vulnerabilidades es CVE-2021-26855, también llamada «ProxyLogon» (sin conexión a ZeroLogon), que permite a un atacante eludir la autenticación de un servidor de Microsoft Exchange local que puede recibir conexiones no confiables de una fuente externa en puerto 443. A esto le sigue la explotación de la autenticación posterior CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, lo que permite que la parte malintencionada obtenga acceso remoto.
La firma taiwanesa de ciberseguridad Devcore, que comenzó una auditoría interna de la seguridad de Exchange Server en octubre del año pasado, señaló en una línea de tiempo que descubrió tanto CVE-2021-26855 como CVE-2021-27065 dentro de un período de 10 días entre el 10 y el 20 de diciembre. 2020. Después de encadenar estos errores en un exploit RCE de autenticación previa viable, la compañía dijo que informó el problema a Microsoft el 5 de enero de 2021, lo que sugiere que Microsoft tenía casi dos meses para lanzar una solución.
Microsoft finalmente solucionó los cuatro problemas de seguridad en cuestión como parte de una actualización de seguridad fuera de banda de emergencia el martes pasado, al tiempo que advirtió que «muchos actores del estado-nación y grupos criminales se moverán rápidamente para aprovechar cualquier sistema sin parches».
El hecho de que Microsoft también parcheó Exchange Server 2010 sugiere que las vulnerabilidades han estado al acecho en el código durante más de diez años.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), que publicó una directiva de emergencia que advierte sobre la «explotación activa» de las vulnerabilidades, instó a las agencias gubernamentales que ejecutan versiones vulnerables de Exchange Server a actualizar el software o desconectar los productos de sus redes.
«CISA es consciente de la explotación generalizada nacional e internacional de las vulnerabilidades de Microsoft Exchange Server e insta a escanear los registros de Exchange Server con la herramienta de detección de IoC de Microsoft para ayudar a determinar el compromiso», dijo la agencia. tuiteó el 6 de marzo.
Vale la pena señalar que la mera instalación de los parches emitidos por Microsoft no tendría ningún efecto en los servidores que ya han sido respaldados. Las organizaciones que han sido violadas para implementar el shell web y otras herramientas posteriores a la explotación continúan en riesgo de compromiso futuro hasta que los artefactos se eliminen por completo de sus redes.
Múltiples clústeres detectados
El equipo de inteligencia de amenazas Mandiant de FireEye dijo que «observó múltiples instancias de abuso de Microsoft Exchange Server dentro de al menos un entorno de cliente» desde principios de año. La firma de ciberseguridad Volexity, una de las firmas a las que se les atribuye el descubrimiento de las fallas, dijo que las campañas de intrusión parecían haber comenzado alrededor del 6 de enero de 2021.
No se sabe mucho sobre las identidades de los atacantes, excepto que Microsoft ha atribuido principalmente las hazañas con gran confianza a un grupo al que llama Hafnium, un grupo calificado respaldado por el gobierno que opera desde China. Mandiant está rastreando la actividad de intrusión en tres grupos, UNC2639, UNC2640 y UNC2643, y agrega que espera que el número aumente a medida que se detectan más ataques.
En un comunicado a Reuters, un portavoz del gobierno chino negó que el país estuviera detrás de las intrusiones.
«Hay al menos cinco grupos diferentes de actividad que parecen estar explotando las vulnerabilidades», dicho Katie Nickels, directora de inteligencia de amenazas en Red Canary, al señalar las diferencias en las técnicas y la infraestructura con respecto al actor de Hafnium.
En un caso particular, la empresa de ciberseguridad observado que algunos de los servidores Exchange comprometidos de los clientes se habían implementado con un software de criptominería llamado DLTminer, un malware documentado por Carbon Black en 2019.
«Una posibilidad es que los adversarios de Hafnium compartieran o vendieran un código de explotación, lo que dio como resultado que otros grupos pudieran explotar estas vulnerabilidades», dijo Nickels. «Otra es que los adversarios podrían haber aplicado ingeniería inversa a los parches lanzados por Microsoft para descubrir de forma independiente cómo explotar las vulnerabilidades».
Guía de mitigación de problemas de Microsoft
Además de implementar correcciones, Microsoft ha publicado una nueva guía de mitigación alternativa para ayudar a los clientes de Exchange que necesitan más tiempo para parchear sus implementaciones, además de lanzar una nueva actualización para la herramienta Microsoft Safety Scanner (MSERT) para detectar shells web y lanzar un script para comprobar los indicadores de compromiso de HAFNIUM. Pueden ser encontrados aquí.
“Estas vulnerabilidades son significativas y deben tomarse en serio”, dijo Mat Gangwer, director senior de respuesta administrada a amenazas en Sophos. «Permiten a los atacantes ejecutar comandos de forma remota en estos servidores sin necesidad de credenciales, y cualquier actor de amenazas podría abusar de ellos».
«La amplia instalación de Exchange y su exposición a Internet significa que muchas organizaciones que ejecutan un servidor de Exchange local podrían estar en riesgo», agregó Gangwer.
