En el último de una serie de dolores de cabeza relacionados con la seguridad para Microsoft, la empresa prevenido clientes el martes que los piratas informáticos patrocinados por el estado de China han estado explotando fallas en uno de sus productos de correo electrónico ampliamente utilizados, Intercambio, con el fin de apuntar a las empresas estadounidenses para el robo de datos.
En varias publicaciones de blog publicadas recientemente, la compañía enumeró cuatro recién descubiertos vulnerabilidades de día cero asociados con los ataques, así como parches y una lista de indicadores de compromiso. Se ha instado a los usuarios de Exchange a actualizar para evitar ser pirateados.
Los investigadores de Microsoft han apodado al principal grupo de hackers detrás de los ataques como «HAFNIUM», describiéndolo como un «actor altamente calificado y sofisticado» que se enfoca en realizar espionaje a través del robo de datos. En campañas pasadas, HAFNIUM ha sido conocido por apuntar a una amplia variedad de entidades en los Estados Unidos, incluidos «investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONG», dijeron.
En el caso de Exchange, estos ataques han supuesto la exfiltración de datos de las cuentas de correo electrónico. Intercambio funciona con clientes de correo como Microsoft Office, sincroniza actualizaciones a dispositivos y computadoras, y es ampliamente utilizado por empresas, universidades y otras grandes organizaciones.
G / O Media puede obtener una comisión
Los ataques al producto se han desarrollado de la siguiente manera: los piratas informáticos aprovecharán los días cero para obtener acceso a un servidor de Exchange (a veces también usaron credenciales comprometidas). Luego, normalmente implementarán un shell web (un script malicioso), secuestrando el servidor de forma remota. Luego, los piratas informáticos pueden robar datos de una red asociada, incluidos tramos completos de correos electrónicos. Los ataques se llevaron a cabo desde servidores privados con sede en Estados Unidos, según Microsoft.
El vicepresidente corporativo de seguridad del cliente de Microsoft, Tom Burt, dijo el martes que los clientes deben trabajar rápidamente para actualizar las fallas de seguridad asociadas:
Aunque hemos trabajado rápidamente para implementar una actualización para los exploits de Hafnium, sabemos que muchos actores estatales y grupos criminales se moverán rápidamente para aprovechar cualquier sistema sin parches. La aplicación inmediata de los parches actuales es la mejor protección contra este ataque.
Inicialmente, investigadores de dos empresas de seguridad diferentes, Volexity y Dubex, señalaron la situación a la atención de Microsoft. De acuerdo a KrebsOnSecurity, Volexity inicialmente encontró evidencia de las campañas de intrusión el 6 de enero. una publicación de blog El martes, los investigadores de Volexity ayudaron a desglosar cómo se veía la actividad maliciosa en un caso particular:
A través de su análisis de la memoria del sistema, Volexity determinó que el atacante estaba explotando una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) de día cero en Microsoft Exchange (CVE-2021-26855). El atacante estaba utilizando la vulnerabilidad para robar el contenido completo de varios buzones de correo de usuarios. Esta vulnerabilidad se puede explotar de forma remota y no requiere autenticación de ningún tipo, ni requiere ningún conocimiento especial o acceso a un entorno de destino. El atacante solo necesita saber el servidor que ejecuta Exchange y de qué cuenta desea extraer el correo electrónico.
Estas recientes campañas de piratería, que Microsoft ha dicho que son «limitadas y dirigidas» por naturaleza, no están asociadas con los ataques «SolarWinds» en curso que el gigante de la tecnología también está involucrado actualmente en. La compañía no ha dicho cuántas organizaciones fueron atacadas o comprometidas con éxito por la campaña, aunque también pueden estar involucrados otros actores de amenazas además de HAFNIUM. Microsoft dice que ha informado a las autoridades federales sobre los incidentes.
.
