Microsoft confirmó a última hora del jueves la existencia de dos vulnerabilidades críticas en su aplicación Exchange que ya han comprometido múltiples servidores y suponen un grave riesgo para unos 220.000 más en todo el mundo.
Los fallos de seguridad, actualmente sin parchear, han sido objeto de explotación activa desde principios de agosto, cuando la empresa de seguridad GTSC, con sede en Vietnam, descubrió que las redes de los clientes habían sido infectadas con webshells maliciosas y que el punto de entrada inicial era algún tipo de vulnerabilidad de Exchange. El misterioso exploit era casi idéntico a un día cero de Exchange de 2021 llamado ProxyShell, pero todos los servidores de los clientes habían sido parcheados contra la vulnerabilidad, que es rastreada como CVE-2021-34473. Finalmente, los investigadores descubrieron que los hackers desconocidos estaban explotando una nueva vulnerabilidad de Exchange.
También puede Leer | Cursos para volverte un profesional de ciberseguridad
Webshells, puertas traseras y sitios falsos
"Después de dominar con éxito el exploit, grabamos los ataques para recopilar información y crear un punto de apoyo en el sistema de la víctima", escribieron los investigadores en un post publicado el miércoles. "El equipo de ataque también utilizó varias técnicas para crear puertas traseras en el sistema afectado y realizar movimientos laterales a otros servidores del sistema".
El jueves por la noche, Microsoft confirmó que las vulnerabilidades eran nuevas y dijo que se estaba apresurando a desarrollar y lanzar un parche. Las nuevas vulnerabilidades son: CVE-2022-41040, una vulnerabilidad de falsificación de peticiones del lado del servidor, y CVE-2022-41082, que permite la ejecución remota de código cuando PowerShell es accesible al atacante.
"En este momento, Microsoft es consciente de los ataques dirigidos limitados que utilizan las dos vulnerabilidades para entrar en los sistemas de los usuarios", escribieron los miembros del equipo del Centro de Respuesta de Seguridad de Microsoft. "En estos ataques, CVE-2022-41040 puede permitir a un atacante autenticado activar remotamente CVE-2022-41082". Los miembros del equipo destacaron que para que los ataques tengan éxito se necesitan credenciales válidas para al menos un usuario de correo electrónico en el servidor.
La Vulnerabilidad
La vulnerabilidad afecta a los servidores Exchange locales y, estrictamente hablando, no al servicio Exchange alojado de Microsoft. La gran advertencia es que muchas organizaciones que utilizan la oferta en la nube de Microsoft eligen una opción que utiliza una mezcla de hardware local y en la nube. Estos entornos híbridos son tan vulnerables como los locales independientes.
También puede Leer | Los ciberdelitos y La necesidad de educar a la sociedad en el area de ciberseguridad
La publicación del miércoles de GTSC dice que los atacantes están explotando el día cero para infectar servidores con webshells, una interfaz de texto que les permite emitir comandos. Estas webshells contienen caracteres chinos simplificados, lo que lleva a los investigadores a especular que los hackers dominan el chino. Los comandos emitidos también llevan la firma de China Chopper, una webshell comúnmente utilizada por los actores de amenazas de habla china, incluidos varios grupos de amenazas persistentes avanzadas conocidos por estar respaldados por la República Popular China.
El GTSC añadió que el malware que los actores de la amenaza acaban instalando emula el servicio web Exchange de Microsoft. También establece una conexión con la dirección IP 137[.]184[.]67[.]33, que está codificada en el binario. El investigador independiente Kevin Beaumont dijo que la dirección aloja un sitio web falso con un solo usuario con un minuto de inicio de sesión y ha estado activo sólo desde agosto.
También puede Leer | Australia quiere enseñar ciberseguridad básica a niños de 5 años
El malware envía y recibe datos cifrados con una clave de cifrado RC4 generada en tiempo de ejecución. Beaumont añadió que el malware de puerta trasera parece ser novedoso, lo que significa que es la primera vez que se utiliza en la naturaleza.
Los usuarios de servidores Exchange locales deben tomar medidas inmediatas. En concreto, deben aplicar una regla de bloqueo que impida que los servidores acepten patrones de ataque conocidos. La regla se puede aplicar yendo a "IIS Manager -> Default Web Site -> URL Rewrite -> Actions". Por el momento, Microsoft también recomienda bloquear los puertos HTTP 5985 y HTTPS 5986, que los atacantes necesitan para explotar CVE-2022-41082.
El aviso de Microsoft contiene una serie de otras sugerencias para detectar las infecciones y prevenir los exploits hasta que esté disponible un parche.
