Hafnium: Espiar su servidor Exchange

Microsoft ha parcheado cuatro fallos de seguridad muy críticos en su aplicación de servidor de correo Exchange. Estos fallos permitían a un atacante acceder a información confidencial. No se necesitan contraseñas para explotar las vulnerabilidades. Las empresas afectadas deben aplicar los parches inmediatamente.

Un grupo de atacantes llamado HAFNIUM ha explotado un total de cuatro vulnerabilidades no parcheadas previamente en Microsoft Exchange para acceder a las comunicaciones internas de las empresas. Esto fue posible gracias a que un atacante se hizo pasar por un servidor de Exchange a un cliente que accedía. En el curso posterior, los atacantes fueron capaces de almacenar archivos en el servidor de correo. Esto permitió al grupo aprovechar la colocación de una puerta trasera que les permitiría acceder a toda la base de datos del servidor de correo en cualquier momento. Entre otras cosas, un ataque exitoso daría a los autores la capacidad de extraer directorios enteros de direcciones e incluso buzones enteros. Todas las vulnerabilidades de seguridad se enumeran en el NVD:

CVE-2021-26855
CVE-2021-26857
CVE-2021-26858
CVE-2021-27065

¿Quién está afectado?

Todas las instalaciones locales de Microsoft Exchange 2013, 2016 y 2019 están afectadas por las vulnerabilidades. Las actualizaciones para estas versiones están disponibles y deben instalarse inmediatamente. También hay actualizaciones disponibles para Exchange 2010 SP3 para evitar la explotación de las vulnerabilidades en estos sistemas. No se requiere ninguna acción para las versiones en la nube de Microsoft Exchange.


¿Cuáles son los riesgos?

Si un atacante como HAFNIUM (o un imitador) explota las vulnerabilidades, es posible acceder a toda la comunicación interna de correo electrónico de una empresa. Dado que una de las vulnerabilidades también permite almacenar y ejecutar archivos, un ataque exitoso también podría resultar en un punto de apoyo permanente del atacante dentro de la red. El acceso a través de una shell web sería posible en cualquier momento. La confidencialidad e integridad de los correos ya no estaría garantizada. Además, es posible que un atacante cree y exporte imágenes de memoria de los procesos en ejecución. A partir de ahí también se puede obtener información útil. También se recargan otras herramientas de Internet para exfiltrar información, a veces desde Github. Como preparación para la exfiltración de datos, a menudo se colocan archivos comprimidos en %ProgramData%, que posteriormente se transmiten a los atacantes a través de una plataforma de intercambio de archivos.

Una lista completa de indicadores de compromiso está disponible en el sitio web de Microsoft (el enlace se abrirá en una nueva ventana del navegador) einsehbar. Según el CERT-BUND alemán, sólo en Alemania hay todavía 58.000 sistemas potencialmente vulnerables, aproximadamente una semana después de que se diera a conocer el fallo al público en general. Es muy probable que esta cifra sea significativamente mayor a escala internacional.

¿Está mi empresa afectada?

Microsoft ha publicado un script que comprueba específicamente si las vulnerabilidades son/han sido explotadas. Está disponible en Github, incluyendo la documentación asociada. Los administradores pueden utilizarlo para determinar si ha habido actividad que pueda indicar la presencia de actividad asociada al grupo HAFNIUM (u otros imitadores). Sin embargo, lo más importante es instalar inmediatamente las actualizaciones para las vulnerabilidades.

¿Quién o qué es HAFNIUM?

Según hallazgos anteriores, HAFNIUM es un grupo denominado APT que muy probablemente opera desde Asia. En la mayoría de los casos, los grupos APT cuentan con apoyo gubernamental y, por lo tanto, están bien posicionados económicamente y en términos de personal. A diferencia de lo que ocurre en un entorno delictivo puramente lucrativo, los grupos APT no tienen la exigencia de producir resultados rápidos. Las operaciones que llevan a cabo los grupos APT suelen planificarse con mucha antelación y a veces se diseñan para que se prolonguen durante años. Los objetivos van desde la simple recopilación de información hasta la manipulación de datos y procesos en detrimento del objetivo. Tradicionalmente, los organismos y autoridades gubernamentales son el objetivo principal, pero lo mismo ocurre con las empresas que suministran a los organismos gubernamentales o les prestan servicios. Las empresas ajenas al gobierno también pueden convertirse en el objetivo de un grupo APT, especialmente si estos órganos tienen un interés indirecto o directo en las decisiones políticas. HAFNIUM también sigue este patrón.

Nota para los usuarios de las soluciones de G DATA

Uno de los indicadores para la explotación de las vulnerabilidades es la presencia de ciertos archivos comprimidos en %ProgramData%.
Sin embargo, el ManagementServer y el Client de G DATA también almacenan algunos archivos comprimidos en este directorio. Las siguientes carpetas suelen formar parte de una instalación existente de G DATA, que también puede contener otras subcarpetas. Se trata de archivos de actualización creados por G DATA ManagementServer, pertenecientes al plugin Exchange de G DATA, o creados por G DATA SecurityClient. En estos directorios también se encuentran los registros de instalación.

Actualización: Fallos conocidos por Microsoft desde principios de enero; se lanzan más parches

10 de marzo de 2021

Según varios informes, las vulnerabilidades de seguridad en Exchange son conocidas por Microsoft desde principios de enero. Los primeros informes ya fueron enviados al fabricante el 5 de enero. A finales de enero, se acumulaban los indicios de que algo gordo estaba pasando. En un principio, estaba previsto que las vulnerabilidades de seguridad se solucionaran en el martes de parches de ayer. Sin embargo, dado que un gran número de servidores Exchange se vieron repentinamente comprometidos con la ayuda de estas vulnerabilidades antes de esta fecha y que varios atacantes de todo el mundo estaban rastreando específicamente Internet en busca de máquinas vulnerables, la actualización se publicó antes de tiempo. Esto significa que desde hace semanas es posible comprometer un servidor Exchange sin que se note. Esto tiene graves consecuencias. No basta con instalar los parches, sino que cualquiera que opere un servidor Exchange que sea vulnerable a los ataques debe buscar activamente señales de compromiso y eliminarlas específicamente. Las vulnerabilidades de seguridad de Exchange son tan graves que Microsoft aún no ha publicado una actualización para corregirlas, ni siquiera para la versión 2010, que hace tiempo que está descatalogada.

Además, existe un riesgo real de que los delincuentes instalen ransomware en los servidores Exchange comprometidos e intenten chantajear a las empresas, autoridades y organizaciones gubernamentales afectadas. Esto me recuerda a un parche que Microsoft lanzó unos meses antes del brote de Wannacry. Una vez más, debido a la gravedad de la vulnerabilidad, los sistemas operativos heredados se aseguraron con un parche. Sin embargo, como el parche no se instaló en todas partes, Wannacry pudo causar miles de millones de dólares en daños en todo el mundo. Las vulnerabilidades que ahora se han parcheado tienen el potencial de causar daños similares. Esto hace que sea aún más importante que los parches se instalen inmediatamente y que los sistemas afectados se revisen y limpien específicamente. Quienes no instalen los parches de seguridad se arriesgan ahora a sufrir interrupciones y daños de los que la empresa podría no ser capaz de recuperarse.

Además de las cuatro vulnerabilidades ya conocidas, Microsoft ha añadido ahora parches para otras tres vulnerabilidades. Dos de ellas (CVE-2021-26412 y CVE-2021-27078) permiten la ejecución remota de código y también están clasificadas como altamente críticas.

Ver artículo original aqui

Deja un comentario