Microsoft insta a los clientes a instalar parches de emergencia lo antes posible para protegerse contra piratas informáticos altamente capacitados que están explotando activamente cuatro vulnerabilidades de día cero en Exchange Server.
El fabricante de software dijo que los piratas informáticos que trabajan en nombre del gobierno chino han estado utilizando los exploits previamente desconocidos para piratear el software de Exchange Server local que está completamente parcheado. Hasta ahora, Hafnium, como Microsoft llama a los piratas informáticos, es el único grupo que ha visto explotar las vulnerabilidades, pero la compañía dijo que eso podría cambiar.
“Aunque hemos trabajado rápidamente para implementar una actualización para las vulnerabilidades de Hafnium, sabemos que muchos actores estatales y grupos criminales se moverán rápidamente para aprovechar cualquier sistema sin parches”, dijo el vicepresidente corporativo de seguridad y confianza del cliente de Microsoft, Tom. Burt escribió en un publicación publicada el martes por la tarde
Burt no identificó los objetivos más que para decir que son empresas que utilizan software Exchange Server local. Dijo que Hafnium opera desde China, principalmente con el propósito de robar datos de investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y organizaciones no gubernamentales con sede en Estados Unidos.
Burt agregó que Microsoft no está al tanto de que se esté atacando a consumidores individuales o que los exploits afectaron a otros productos de Microsoft. También dijo que los ataques no están relacionados de ninguna manera con los ataques relacionados con SolarWinds que violaron al menos nueve agencias gubernamentales de EE. UU. Y unas 100 empresas privadas.
Los días cero están presentes en Microsoft Exchange Server 2013, 2016 y 2019. Las cuatro vulnerabilidades son:
- CVE-2021-26855, una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que permitía a los atacantes enviar solicitudes HTTP arbitrarias y autenticarse como el servidor Exchange.
- CVE-2021-26857, una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada. La deserialización insegura ocurre cuando un programa deserializa datos que no son de confianza y controlables por el usuario. La explotación de esta vulnerabilidad le dio a Hafnium la capacidad de ejecutar código como SISTEMA en el servidor Exchange. Esto requiere permiso de administrador u otra vulnerabilidad para explotar.
- CVE-2021-26858, una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación. Si Hafnium pudiera autenticarse con el servidor de Exchange, entonces podría usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. El grupo podría autenticarse aprovechando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.
- CVE-2021-27065, una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación. Si Hafnium pudiera autenticarse con el servidor de Exchange, podrían usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podría autenticarse explotando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.
El ataque, dijo Burt, incluyó los siguientes pasos:
- Obtenga acceso a un servidor de Exchange ya sea con contraseñas robadas o utilizando los días cero para disfrazar a los piratas informáticos como personal que debería tener acceso
- Cree un shell web para controlar el servidor comprometido de forma remota
- Use ese acceso remoto para robar datos de la red de un objetivo
Como es habitual en Hafnium, el grupo operaba desde servidores privados virtuales alquilados en EE. UU. Volexity, una empresa de seguridad que informó de forma privada los ataques a Microsoft, dicho los ataques parecían comenzar el 6 de enero.
“Si bien los atacantes parecen haber volado inicialmente en gran medida por debajo del radar simplemente robando correos electrónicos, recientemente giraron hacia el lanzamiento de exploits para afianzarse”, escribieron los investigadores de Volexity Josh Grunzweig, Matthew Meltzer, Sean Koessel, Steven Adair y Thomas Lancaster. “Desde la perspectiva de Volexity, esta explotación parece involucrar a varios operadores que utilizan una amplia variedad de herramientas y métodos para descargar credenciales, moverse lateralmente y otros sistemas de puerta trasera”.
Más detalles, incluidos indicadores de compromiso, están disponibles aquí y aquí.
Además de Volexity, Microsoft también le dio crédito a la firma de seguridad Dubex por informar en privado diferentes partes del ataque a Microsoft y ayudar en una investigación que siguió. Las empresas que utilizan una versión vulnerable de Exchange Server deben aplicar los parches lo antes posible.