adimas - Fotolia
La cronología de los ataques de Microsoft Exchange Server plantea preguntas
Varios proveedores de seguridad informaron que la explotación de los días cero de Microsoft Exchange Server comenzó mucho antes de su divulgación, pero los investigadores no saben explicar por qué.
El cronograma de divulgación de las vulnerabilidades de Microsoft Exchange Server está suscitando preguntas sobre posibles fugas o brechas que permitieron a los actores de amenazas explotar las fallas mucho antes de que Microsoft las revelara oficialmente.
El 2 de marzo, el gigante tecnológico reveló que un grupo de amenazas de un estado-nación chino conocido como Hafnium había explotado cuatro vulnerabilidades de día cero para atacar versiones locales de su software de correo electrónico Exchange Server. Microsoft lanzó parches para los cuatro días cero, pero advirtió que los actores de amenazas pueden haber violado organizaciones antes de las actualizaciones de seguridad y haber mantenido su presencia dentro de sus servidores a través de shells web maliciosos que actúan como puertas traseras.
Al día siguiente, la Agencia de Seguridad e Infraestructura de Ciberseguridad (CISA) emitió una directiva de emergencia instando a las empresas a parchar porque la explotación «representa un riesgo inaceptable para las agencias del Poder Ejecutivo Civil Federal», varios medios informativos informaron que los ataques habían impactado hasta 30.000 organizaciones estadounidenses, y Microsoft descubrió que varios actores, no solo un grupo como se pensaba inicialmente, se estaban aprovechando de los sistemas sin parches para atacar los servidores de Exchange.
Si bien las vulnerabilidades se han parchado y Microsoft ha lanzado herramientas de detección de amenazas para ayudar a mitigar la amenaza, han surgido preguntas en torno a la divulgación de las vulnerabilidades.
A medida que surgen informes de que la explotación de las fallas comenzó mucho antes de la divulgación pública, esas preguntas incluyen la posibilidad de una filtración de datos confidenciales que llevaron a una ola de ataques.
Descubrimiento y explotación
Varios investigadores y proveedores desempeñaron un papel en la divulgación del principal ataque a los servidores de correo electrónico de Microsoft.
Las vulnerabilidades fueron descubiertas por primera vez el 10 de diciembre de 2020 por un investigador de seguridad anónimo de Devcore, una consultora de seguridad de información en Taiwán. El investigador, conocido como Orange Tsai, descubrió la más crítica de las cuatro vulnerabilidades, CVE-2021-26855, también conocida como ProxyLogon. Los actores de amenazas pueden utilizar la vulnerabilidad de falsificación de solicitudes del lado del servidor para eludir la autenticación en los servidores de Exchange y hacerse pasar por un usuario.
El 20 de diciembre, Devcore descubrió una segunda vulnerabilidad de Exchange Server denominada CVE-2021-27065. Los investigadores de Devcore encadenaron las dos vulnerabilidades en un exploit funcional de prueba de concepto (PoC) el 31 de diciembre. Si bien los exploits PoC están destinados a ser utilizados por los equipos de seguridad para demostrar vulnerabilidades y desarrollar mitigaciones, los actores de amenazas pueden obtenerlos y usarlos para ataques. Devcore informó las vulnerabilidades y el PoC a Microsoft el 5 de enero, quien confirmó la recepción al día siguiente.
Pero, a principios de este mes, después de que Microsoft reveló y corrigió las fallas, varios proveedores de seguridad informaron haber observado la explotación de los días cero en enero y febrero. Uno de esos proveedores es Volexity, un proveedor de respuesta a incidentes con sede en Washington, D.C., al que Microsoft le atribuyó la notificación de partes adicionales de la cadena de ataque ProxyLogon. Inicialmente, Volexity dijo en una publicación de blog que observó actividad de amenazas en los entornos de dos clientes a partir del 6 de enero, pero luego revisó la fecha de inicio al 3 de enero. En un correo electrónico a nuestro sitio hermano SearchSecurity, Matthew Meltzer, analista de seguridad de Volexity, confirmó que la primera explotación que observaron fue el 3 de enero.
«En la explotación inicial, los atacantes fueron muy selectivos con sus objetivos, siendo los objetivos principales el robo de correo electrónico de personas específicas en las organizaciones objetivo», dijo.
Dubex, una consultora de seguridad de información con sede en Dinamarca, también observó ataques antes de la fecha de divulgación y Microsoft también le atribuyó la ayuda para encontrar partes adicionales de la cadena de ataque, incluida CVE-2021-26857, una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada de Exchange Server (una cuarta vulnerabilidad de Exchange Server, CVE-2021-26858, fue descubierta por el propio Threat Intelligence Center de Microsoft).
En un correo electrónico a SearchSecurity, el CTO de Dubex, Jacob Herbst, dijo que la compañía vio la primera explotación en los servidores Exchange de un cliente el 18 de enero, lo que llevó a los investigadores hacia CVE-2021-26857. «Detuvimos el ataque contra nuestro cliente temprano y antes de que se hiciera ningún daño, pero según el actor de amenazas identificado por Microsoft, lo más probable es que se tratara de un robo/espionaje de información», dijo Herbst.
Dubex informó el día cero a Microsoft el 27 de enero. Según Herbst, Dubex cree que los ataques fueron dirigidos contra organizaciones específicas. La explotación parecía estar limitada a un pequeño número de objetivos.
A mediados de febrero, Microsoft estableció una fecha de divulgación del 9 de marzo, martes de parches, para los cuatro días cero. Sin embargo, la fecha se adelantó una semana cuando comenzaron a surgir informes de explotación.
Picos de explotación de Exchange Server
A fines de febrero, otros proveedores comenzaron a observar un aumento en la actividad.
Herbst dijo que una posible razón para el aumento es que los actores de amenazas probablemente se enteraron de que Microsoft estaba a punto de lanzar una solución y luego escalaron los ataques.
«Las razones podrían ser para cubrir sus huellas atacando a muchas empresas o para asegurar la persistencia de organizaciones no pirateadas que de otra manera serían parchadas. También podría ser solo para causar caos», dijo. «También podrían ser los hackers estatales que están ganando dinero como delincuentes y garantizar la persistencia podría darles acceso para implementar mineros criptográficos y ransomware».
Matthieu Faou, investigador de malware de ESET, estuvo de acuerdo en que la noticia de un parche puede tener una fecha límite establecida para los actores de amenazas. Según Faou, la actividad volvió a aumentar justo después del lanzamiento del parche y se expandió más allá de Hafnium.
«Los atacantes corrían contrarreloj para comprometer tantos servidores como fuera posible antes de que los parches se implementaran ampliamente», dijo. Además, al principio parecía que solo Hafnium tenía un exploit para estas vulnerabilidades. Por una razón poco clara, muchos otros grupos de amenazas obtuvieron acceso a él a fines de febrero. Eso incluye grupos APT conocidos como Tick, LuckyMouse, Calypso y Winnti Group.
Meltzer también atribuyó el aumento a grupos de amenazas adicionales. «Los ataques anteriores abusaron de la misma vulnerabilidad en Microsoft Exchange, pero la explotación masiva que comenzó a tener lugar a fines de febrero bien podría ser obra de diferentes actores de amenazas».
Uno de los proveedores que informó sobre el aumento fue Rapid7, que el 27 de febrero comenzó a detectar un aumento «notable» en los ataques a las instalaciones de Microsoft Exchange Server que involucran un shell web malicioso conocido como «China Chopper», que es popular entre los actores de amenazas chinos. China Chopper se usa a menudo como puerta trasera, lo que significa que una vez que los actores de amenazas colocan el shell web dentro de un servidor Exchange vulnerable, pueden mantener el acceso incluso después de que los servidores estén parchados.
«Con este punto de apoyo, el atacante cargaba y ejecutaba herramientas, a menudo con el propósito de robar credenciales», dijo Rapid7 en una publicación de blog.
Al día siguiente, los investigadores de amenazas de la Unidad 42 de Palo Alto Networks también detectaron actividad de explotación. Los investigadores descubrieron que, si bien la mayoría de los shells web de China Chopper contenían claves de acceso alfanuméricas, algunas contenían la contraseña «Orange».
La Unidad 42 publicó sus hallazgos en una publicación de blog el 8 de marzo. Unos días después, Orange Tsai confirmó en Twitter que el PoC que desarrollaron para ProxyLogon usaba un shell web que contenía la contraseña «Orange»: el PoC de Devcore se filtró de alguna manera antes de la divulgación y fue utilizado en internet.
Como resultado, Devcore lanzó una investigación interna el 3 de marzo sobre una posible violación o filtración que expuso las vulnerabilidades y PoC antes de la divulgación pública. Según Bowen Hsu, gerente de proyectos senior de Devcore, la investigación incluyó todas las computadoras personales y dispositivos propiedad de los empleados, así como su infraestructura y sistemas internos. Esa investigación concluyó el 5 de marzo.
«No había señales de que ninguno de esos dispositivos y nuestros sistemas hayan sido hackeados. Además, hemos investigado nuestros sistemas internos y no encontramos intentos de inicio de sesión o acceso a archivos inusuales», dijo en un correo electrónico a SearchSecurity.
¿Hubo una fuga?
Varios medios de comunicación, incluidos Bloomberg y Wall Street Journal, informaron que Microsoft lanzó su propia investigación sobre cómo se filtró el exploit Devcore PoC antes de la divulgación y el parche de vulnerabilidad del 2 de marzo.
Un portavoz de Microsoft confirmó que la compañía está investigando el asunto. «Estamos analizando qué pudo haber causado el pico de actividad maliciosa y aún no hemos sacado ninguna conclusión», dijo el vocero. «No hemos visto indicios de una filtración de Microsoft relacionada con este ataque».
Los procesos coordinados de divulgación de vulnerabilidades entre los grandes proveedores de software ampliamente utilizados a menudo implican informar a las grandes empresas y clientes gubernamentales, así como a los principales socios tecnológicos, sobre las vulnerabilidades críticas antes de su divulgación pública para que esas organizaciones preparen mitigaciones.
Pero los socios y los clientes suelen estar conectados al final del proceso de divulgación. Y aunque un tercero que filtró accidentalmente información sobre ProxyLogon explicaría el Devcore PoC que se usaba en internet, no explicaría la explotación de los días cero a principios de enero.
Un blog de ESET también abordó la línea de tiempo y la explotación previa a la divulgación de los días cero, y señaló que la explotación había comenzado dos días antes de que Devcore informara sus hallazgos a Microsoft.
«Por lo tanto, si estas fechas son correctas, las vulnerabilidades fueron descubiertas de forma independiente por dos equipos de investigación de vulnerabilidades diferentes o esa información sobre las vulnerabilidades fue obtenida de alguna manera por una entidad maliciosa», decía la publicación del blog.
En una publicación de blog sobre Lawfare, Nicholas Weaver, investigador de seguridad y profesor del departamento de Ciencias de la Computación de la Universidad de California, Berkeley, sugirió que el actor de amenazas tenía un conocimiento avanzado de las vulnerabilidades antes del descubrimiento de Devcore.
«De alguna manera, el actor de la amenaza sabía que los exploits pronto perderían su valor o simplemente adivinó que lo harían. Así que, a fines de febrero, el atacante cambió de estrategia. En lugar de simplemente explotar servidores Exchange específicos, los atacantes aceleraron considerablemente su ritmo al apuntar decenas de miles de servidores para instalar el shell web, un exploit que permite a los atacantes tener acceso remoto a un sistema», escribió Weaver.
Muchas preguntas, pocas respuestas
SearchSecurity preguntó a varios proveedores de seguridad sobre la explotación de las fallas antes de la divulgación. Una cosa en la que aparentemente estuvieron de acuerdo: simplemente no saben por qué comenzaron los ataques cuando lo hicieron, pero parece ser más que un momento coincidente.
«No sabemos cuándo/por qué los actores comenzaron los ataques», dijo Hsu, y agregó que la compañía no está segura de cuándo se usó su PoC. «Sin embargo, Devcore descubrió que es muy probable que se hayan utilizado varias vulnerabilidades de día cero a principios de enero de 2021».
De manera similar, Volexity no tenía respuestas sobre por qué comenzaron los ataques a principios de enero luego del descubrimiento de ProxyLogon, o por qué la actividad de amenazas aumentó cuando Microsoft se preparó para revelar y corregir las fallas. «No tenemos ninguna evidencia directa que explique por qué la explotación se aceleró a fines de febrero», dijo Meltzer.
Según Faou, ESET no observó nada antes del 28 de febrero y, por lo tanto, no puede verificar los informes de explotación de otros proveedores en enero. «Por lo tanto, no podemos confirmar o negar la información. Es probable que el exploit se usó en ataques altamente dirigidos al principio y no a gran escala, como vimos a fines de febrero y principios de marzo».
Satnam Narang, ingeniero de investigación de personal de Tenable, dijo que los actores de amenazas suelen usar los días cero con moderación para los ataques dirigidos, por lo que las vulnerabilidades no se identifican ampliamente o «se queman» antes de que hayan tenido la oportunidad de usarlas correctamente y lograr sus objetivos. El aumento en los ataques de ProxyLogon a fines de febrero, dijo, sugiere que múltiples actores de amenazas tenían algún indicio de que los días cero estaban a punto de ser parchados.
«Es difícil decirlo con certeza, pero es posible que los atacantes supieran que la ventana de oportunidad para explotar estos días cero se estaba acortando y este era su último esfuerzo para comprometer los objetivos y mantener la persistencia», dijo Narang. «De esta forma, seguirían teniendo acceso a los sistemas de las organizaciones incluso después de que se publicaran y aplicaran los parches".
Pero el misterio de por qué los ataques comenzaron a principios de enero y por qué la explotación aumentó repentinamente en febrero, permanece. ¿Hafnium ya tenía estos días cero en su poder, o el grupo de amenazas se enteró por primera vez de ellos por una posible filtración en el proceso de divulgación? ¿Podría Hafnium haber detectado de alguna manera que ProxyLogon había sido descubierto por investigadores de Devcore? ¿Y cómo se enteraron tantos otros grupos de amenazas además de Hafnium de los días cero y comenzaron a explotarlos una semana antes de que llegaran los parches?
Por ahora, los expertos solo pueden adivinar. «Es difícil decir definitivamente cómo los actores de la amenaza sabían que sus vulnerabilidades estaban quemadas», dijo Narang.
El director de noticias Rob Wright y el redactor de noticias Alexander Culafi contribuyeron a este artículo.