alswart - stock.adobe.com
Ataques a Microsoft Exchange Server, ¿qué es lo que sabemos?
Siguen surgiendo más detalles desde la divulgación de las vulnerabilidades y ataques de día cero en Microsoft Exchange Server, incluida la amplia gama de víctimas potenciales.
Si bien los ataques a los servidores Microsoft Exchange continúan desarrollándose y quedan dudas sobre el número de organizaciones afectadas, el alcance y la gravedad de la amenaza ha aumentado significativamente.
Microsoft reveló a principios de marzo múltiples vulnerabilidades de día cero que están siendo explotadas por un grupo de amenazas de un estado nacional chino para atacar versiones locales de los servidores de correo electrónico de Microsoft Exchange. El gigante tecnológico lanzó actualizaciones para las cuatro vulnerabilidades y recomendó que los clientes apliquen las actualizaciones a los sistemas afectados de inmediato debido a los ataques en curso.
Ahora bien, lo que Microsoft inicialmente denominó "ataques limitados y dirigidos" puede que no sea tan limitado.
A medida que surgieron más detalles, aumentó el número de víctimas y atacantes. La situación alarmó tanto a los proveedores de seguridad privada como a las agencias gubernamentales; la Agencia de Seguridad e Infraestructura de Ciberseguridad (CISA) publicó una directiva de emergencia un día después de que Microsoft revelara el ataque.
"CISA ha determinado que esta explotación de los productos locales de Microsoft Exchange representa un riesgo inaceptable para las agencias del Poder Ejecutivo Federal Civil y requiere una acción de emergencia. Esta determinación se basa en la explotación actual de esas vulnerabilidades en el medio natural, la probabilidad de que las vulnerabilidades sean explotadas, la prevalencia del software afectado en la empresa federal, el alto potencial de un compromiso de los sistemas de información de la agencia y el impacto potencial de un compromiso exitoso", dijo el comunicado.
Días después, la CISA emitió otra declaración de que Microsoft había lanzado una herramienta de detección de amenazas para escanear los archivos de registro de Exchange en busca de indicadores de compromiso (IOC); Microsoft lanzó una herramienta adicional que escanea en busca de shells web que los atacantes pueden haber creado dentro de los entornos de las víctimas. El Consejo de Seguridad Nacional de la Casa Blanca dijo el sábado que, a pesar de los parches y las herramientas de mitigación, las empresas aún deben tener cuidado.
"Parchear y mitigar no es una remediación si los servidores ya han sido comprometidos. Es esencial que cualquier organización con un servidor vulnerable tome medidas inmediatas para determinar si ya fueron atacados", escribió en Twitter el Consejo de Seguridad Nacional.
Las vulnerabilidades
Hay cuatro vulnerabilidades relacionadas con los ataques de Exchange Server, la más grave de las cuales es CVE-2021-26855. También conocido como "ProxyLogon", este día cero es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF). ProxyLogon fue descubierto en diciembre de 2020 por un investigador de amenazas anónimo en Devcore, una empresa de consultoría de seguridad de información en Taiwán.
Más tarde, en diciembre, Devcore descubrió una segunda vulnerabilidad de Exchange Server, CVE-2021-27065, que es un error de escritura de archivo arbitrario posterior a la autenticación. Devcore descubrió que encadenar esta vulnerabilidad con ProxyLogon producía un exploit de ejecución remota de código (RCE), e informaron ambos errores a Microsoft el 5 de enero. Microsoft confirmó la recepción del informe al día siguiente e informó a Devcore el 8 de enero que se había replicado el comportamiento de las vulnerabilidades y el exploit encadenado.
Durante el curso de la investigación sobre ProxyLogon, Microsoft recibió informes de actividad de amenazas de Volexity, un proveedor de respuesta a incidentes con sede en Washington, D.C., y Dubex, una consultora de seguridad de información con sede en Dinamarca. Las amenazas involucraban una actividad de red anómala de los servidores Microsoft Exchange de los clientes que incluía la explotación de ProxyLogon. Como resultado, los investigadores del Microsoft Threat Intelligence Center descubrieron dos vulnerabilidades adicionales en Exchange Server que estaban siendo explotadas por los atacantes: CVE-2021-26857, una vulnerabilidad de ‘deserialización’ insegura en el servicio de mensajería unificada del software; y CVE-2021-26858, una segunda vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación.
Microsoft anunció que estas vulnerabilidades de Exchange Server serían parchadas el 9 de marzo con las actualizaciones regulares de Patch Tuesday de la compañía. Sin embargo, la compañía adelantó los parches y la divulgación al 2 de marzo. A raíz de la divulgación, la explotación de las fallas aumentó significativamente, según varios informes.
Los atacantes
Microsoft atribuyó los ataques iniciales de ProxyLogon al grupo de amenazas patrocinado por el estado chino conocido como Hafnium. Según la publicación del blog de Microsoft, los operadores de Hafnium explotaron las vulnerabilidades para obtener acceso inicial y luego desplegaron shells web en el servidor comprometido. "Los shells web permiten potencialmente a los atacantes robar datos y realizar acciones maliciosas adicionales que pueden comprometer aún más", decía la publicación del blog.
En una actualización, Microsoft dijo que "continúa viendo un mayor uso de vulnerabilidades en ataques dirigidos a sistemas no parcheados por parte de múltiples actores maliciosos más allá de HAFNIUM". No está claro quiénes son los actores de amenazas adicionales y cuáles pueden ser sus motivaciones. Sin embargo, el proveedor de detección de amenazas Red Canary informó una actividad de explotación que involucró la instalación de un programa de criptominería llamado Dltminer.
Volexity proporcionó una actualización a una publicación de blog del 2 de marzo donde fechaba los primeros ataques en enero de este año. La actualización reveló una línea de tiempo incluso anterior a la informada inicialmente.
"Desde la publicación original de este blog, Volexity no ha observado que las operaciones de ciberespionaje que utilizan la vulnerabilidad SSRF CVE-2021-26855 comenzaron a ocurrir el 3 de enero de 2021, tres días antes de lo publicado inicialmente", dice el comunicado.
Las víctimas
Varios medios de comunicación informaron que los ataques de Exchange Server han afectado a entre 20.000 y 30.000 organizaciones solo en los EE.UU. Sin embargo, varios expertos en seguridad de la información, incluido el exdirector de CISA, Christopher Krebs, creen que la cifra es mucho mayor. Mientras tanto, CISA escribió que estaba al tanto de la "explotación generalizada nacional e internacional" de las vulnerabilidades.
Si bien, según los informes, el número de víctimas potenciales ha aumentado desde la semana pasada, la lista de divulgaciones de violaciones de datos no lo ha hecho. Hasta ahora, la Autoridad Bancaria Europea parece ser la única empresa que ha confirmado una infracción. En un comunicado el domingo, atribuyó un ataque cibernético a sus servidores Microsoft Exchange.
"La Autoridad Bancaria Europea (EBA) ha sido objeto de un ciberataque contra sus servidores Microsoft Exchange, que está afectando a muchas organizaciones en todo el mundo. La Agencia ha iniciado rápidamente una investigación completa, en estrecha cooperación con su proveedor de TIC, un equipo de expertos forenses y otras entidades relevantes", dijo el comunicado.
En una actualización, la EBA dijo que no creen que se haya extraído ningún dato y que no tienen indicios de que la violación haya ido más allá de los servidores de correo electrónico. Sin embargo, el banco desconectó los sistemas de correo electrónico como medida de precaución.
Resulta que esas medidas de precaución tuvieron éxito. En una tercera actualización, la EBA dijo que se habían restaurado los servicios de correo electrónico.
"La Autoridad Bancaria Europea ha establecido que el alcance del evento provocado por las vulnerabilidades notificadas recientemente ampliamente era limitado y que la confidencialidad de los sistemas y datos de la EBA no se ha visto comprometida. Gracias a las medidas cautelares tomadas, la EBA ha logrado eliminar el la amenaza existente y sus servicios de comunicación por correo electrónico, por lo tanto, se han restaurado".
Los informes de las firmas de ciberseguridad FireEye y Huntress Labs dicen que la gama de víctimas es amplia.
"También hemos sido testigos de muchas víctimas del gobierno de la ciudad y del condado, proveedores de atención médica, bancos/instituciones financieras y varios proveedores de electricidad residenciales", dice la publicación del blog.
Además, Huntress ha estado rastreando la cantidad de sistemas sin parches en los servidores de Exchange. Hasta el viernes, alrededor de 800 permanecían sin parchear y "sin la revisión para un número de versión de CU actualizado".
Según un blog de FireEye Mandiant, las víctimas incluyen minoristas con sede en EE.UU., Gobiernos locales, una universidad y una empresa de ingeniería. "La actividad relacionada también puede incluir un gobierno del sudeste asiático y telecomunicaciones de Asia central", decía la publicación del blog.