El ataque de día cero de Microsoft Exchange de alta gravedad amenaza a 220 000 servidores

Microsoft confirmó el jueves por la noche la existencia de dos vulnerabilidades críticas en su aplicación Exchange que ya han comprometido varios servidores y representan un grave riesgo para unos 220.000 más en todo el mundo.

Las fallas de seguridad actualmente sin parchear han estado bajo explotación activa desde principios de agosto, cuando la empresa de seguridad con sede en Vietnam GTSC descubrió que las redes de los clientes habían sido infectadas con webshells maliciosos y que el punto de entrada inicial era algún tipo de vulnerabilidad de Exchange. El exploit misterioso parecía casi idéntico a un día cero de Exchange de 2021 llamado ProxyShell, pero todos los servidores de los clientes habían sido parcheados contra la vulnerabilidad, que se rastrea como CVE-2021-34473. Eventualmente, los investigadores descubrieron que los piratas informáticos desconocidos estaban explotando una nueva vulnerabilidad de Exchange.

Webshells, puertas traseras y sitios falsos

“Después de dominar con éxito el exploit, registramos ataques para recopilar información y crear un punto de apoyo en el sistema de la víctima”, escribieron los investigadores en un mensaje publicado el miércoles. “El equipo de ataque también usó varias técnicas para crear puertas traseras en el sistema afectado y realizar movimientos laterales a otros servidores en el sistema”.

El jueves por la noche, Microsoft confirmó que las vulnerabilidades eran nuevos y dijo que estaba luchando por desarrollar y lanzar un parche. Las nuevas vulnerabilidades son: CVE-2022-41040, una vulnerabilidad de falsificación de solicitud del lado del servidor, y CVE-2022-41082, que permite la ejecución remota de código cuando el atacante puede acceder a PowerShell.

“En este momento, Microsoft está al tanto de ataques dirigidos limitados que usan las dos vulnerabilidades para ingresar a los sistemas de los usuarios”, escribieron los miembros del equipo del Centro de Respuesta de Seguridad de Microsoft. “En estos ataques, CVE-2022-41040 puede permitir que un atacante autenticado active de forma remota CVE-2022-41082”. Los miembros del equipo enfatizaron que los ataques exitosos requieren credenciales válidas para al menos un usuario de correo electrónico en el servidor.

La vulnerabilidad afecta a los servidores de Exchange locales y, estrictamente hablando, no al servicio de Exchange alojado de Microsoft. La gran advertencia es que muchas organizaciones que utilizan la oferta en la nube de Microsoft eligen una opción que utiliza una combinación de hardware local y en la nube. Estos entornos híbridos son tan vulnerables como los locales independientes.

Las búsquedas en Shodan indican que actualmente hay más de 200 000 servidores Exchange locales expuestos a Internet y más de 1000 configuraciones híbridas.

La publicación de GTSC del miércoles dijo que los atacantes están explotando el día cero para infectar servidores con webshells, una interfaz de texto que les permite emitir comandos. Estos webshells contienen caracteres chinos simplificados, lo que lleva a los investigadores a especular que los piratas informáticos hablan chino con fluidez. Los comandos emitidos también llevan la firma del Helicóptero chinoun webshell comúnmente utilizado por los actores de amenazas de habla china, incluidos varios grupos de amenazas persistentes avanzados que se sabe que están respaldados por la República Popular China.

GTSC continuó diciendo que el malware que los actores de amenazas finalmente instalan emula el servicio web Exchange de Microsoft. También hace una conexión con la dirección IP 137[.]184[.]67[.]33, que está codificado en binario. Investigador independiente Kevin Beaumont dijo la dirección aloja un sitio web falso con un solo usuario con un minuto de tiempo de inicio de sesión y ha estado activo solo desde agosto.

Luego, el malware envía y recibe datos que se cifran con una clave de cifrado RC4 que se genera en tiempo de ejecución. Beaumont continuó diciendo que el malware de puerta trasera parece ser nuevo, lo que significa que esta es la primera vez que se usa en la naturaleza.

Las personas que ejecutan servidores de Exchange locales deben tomar medidas inmediatas. En concreto, deberían aplicar una regla de bloqueo que impida que los servidores acepten patrones de ataque conocidos. La regla se puede aplicar yendo a “Administrador de IIS -> Sitio web predeterminado -> Reescritura de URL -> Acciones”. Por el momento, Microsoft también recomienda que las personas bloqueen el puerto HTTP 5985 y el puerto HTTPS 5986, que los atacantes necesitan para explotar CVE-2022-41082.

El aviso de Microsoft contiene una serie de otras sugerencias para detectar infecciones y prevenir vulnerabilidades hasta que haya un parche disponible.