Decenas de miles de organizaciones con sede en EE. UU. Están ejecutando servidores Microsoft Exchange que han sido bloqueados por actores de amenazas que están robando contraseñas de administrador y explotando vulnerabilidades críticas en la aplicación de correo electrónico y calendario, se informó ampliamente. Microsoft emitió parches de emergencia el martes, pero no hacen nada para desinfectar los sistemas que ya están comprometidos.
KrebsOnSecurity fue el primero en informar el hack masivo. Citando a varias personas anónimas, el periodista Brian Krebs calculó el número de organizaciones estadounidenses comprometidas en al menos 30.000. En todo el mundo, Krebs dijo que había al menos 100.000 organizaciones pirateadas. Otros medios de comunicación, también citando fuentes no identificadas, rápidamente siguieron con publicaciones reportando el truco había golpeado Decenas de miles de organizaciones en los Estados Unidos.
Asumir compromiso
“Este es el verdadero negocio”, Chris Krebs, ex director de la Agencia de Seguridad de Infraestructura y Ciberseguridad, dicho
Este es el verdadero negocio. Si su organización ejecuta un servidor OWA expuesto a Internet, asuma un compromiso entre el 26/02 y 03/03. Busque archivos aspx de 8 caracteres en C: \ inetpub wwwroot aspnet_client system_web . Si obtiene un resultado en esa búsqueda, ahora está en modo de respuesta a incidentes. https://t.co/865Q8cc1Rm
– Chris Krebs (@C_C_Krebs) 5 de marzo de 2021
El hafnio tiene compañía
Microsoft dijo el martes que los servidores de Exchange locales estaban siendo pirateados en “ataques dirigidos limitados” por un grupo de piratería con sede en China al que el fabricante de software llama Hafnium. Tras la publicación del viernes de Brian Krebs, Microsoft actualizó su correo
Katie Nickels, directora de inteligencia de la firma de seguridad Red Canary, le dijo a Ars que su equipo ha encontrado servidores Exchange que fueron comprometidos por piratas informáticos utilizando tácticas, técnicas y procedimientos que son claramente diferentes a los utilizados por el grupo Hafnium que Microsoft nombró. Dijo que Red Canary ha contado cinco “grupos que se ven de manera diferente entre sí, [though] decir si las personas detrás de ellos son diferentes o no es realmente desafiante y poco claro en este momento “.
En Twitter, Red Canary dicho que algunos de los servidores de Exchange comprometidos que la compañía ha rastreado ejecutaron malware que la firma de seguridad Carbon Black analizado en 2019. El malware fue parte de un ataque que instaló un software de criptominería llamado DLTminer. Es poco probable que Hafnium instale una carga útil como esa.
Microsoft dijo que Hafnium es un hábil grupo de piratería de China que se centra principalmente en robar datos de investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y organizaciones no gubernamentales con sede en EE. UU. El grupo, dijo Microsoft, estaba pirateando servidores explotando las vulnerabilidades de día cero reparadas recientemente o utilizando credenciales de administrador comprometidas.
No está claro qué porcentaje de servidores infectados son obra de Hafnium. Microsoft advirtió el martes que la facilidad para explotar las vulnerabilidades hacía probable que otros grupos de piratas informáticos se unieran pronto a Hafnium. Si los grupos de ransomware aún no se encuentran entre los clústeres que comprometen los servidores, es casi inevitable que pronto lo estén.
Servidores de puerta trasera
Brian Krebs y otros informaron que decenas de miles de servidores Exchange se habían visto comprometidos con un webshell, que los piratas informáticos instalan una vez que obtienen acceso a un servidor. El software permite a los atacantes ingresar comandos administrativos a través de una ventana de terminal a la que se accede a través de un navegador web.
Los investigadores han tenido cuidado de notar que la simple instalación de los parches que Microsoft emitió en la versión de emergencia del martes no haría nada para desinfectar los servidores que ya han sido bloqueados. Los webshells y cualquier otro software malintencionado que se haya instalado persistirán hasta que se elimine activamente, idealmente reconstruyendo completamente el servidor.
Las personas que administran servidores Exchange en sus redes deben dejar de hacer lo que estén haciendo en este momento e inspeccionar cuidadosamente sus máquinas en busca de signos de compromiso. Microsoft ha enumerado indicadores de compromiso aquí. Los administradores también pueden usar este guión de Microsoft para probar si sus entornos se ven afectados.
La escalada de esta semana de ataques al servidor Exchange se produce tres meses después de que los profesionales de seguridad descubrieron el ataque de al menos nueve agencias federales y unas 100 empresas. El vector principal de infecciones fue a través de las actualizaciones de software del fabricante de herramientas de red SolarWinds. El ataque masivo fue uno de, si no la—Las peores intrusiones informáticas en la historia de Estados Unidos. Es posible que Exchange Server pronto reclame esa distinción.
Todavía hay mucho que se desconoce. Por ahora, la gente haría bien en seguir el consejo de Chris Krebs de asumir que los servidores locales están comprometidos y actuar en consecuencia.