Hackers gubernamentales están explotando vulnerabilidad en los servidores Exchange



Microsoft Exchange Server es un software exclusivo para servidores con sistema operativo Windows Servers, donde provee los servicios de correo y calendario.

Recientemente múltiples grupos de hackers apoyados por diferentes gobiernos están explotando una vulnerabilidad parcheada el mes pasado en los servidores de correo Microsoft Exchange. El grupo de investigadores que observaron por primera vez la situación, no compartieron los nombres de los grupos que están explotando esta vulnerabilidad, solamente describieron a estos grupos de hackers como “todos los grandes jugadores”, para declinar los nombres o países a los que pertenecen.

La vulnerabilidad [CVE-2020-0688] posee los siguientes detalles técnicos:
  1. Durante la instalación, los servidores Microsoft Exchange fallan en crear una única llave criptográfica para el panel de control de Exchange.
  2. Esto significa que todos los servidores de correos Microsoft Exchange instalados durante los últimos 10 años usan la misma llave criptográfica, utilizada para respaldar su panel de control.
  3. Los atacantes pueden enviar peticiones malformadas hacia el panel de control de Exchange, donde contengan datos de señalización maliciosa.
  4. Debido a que los hackers conocen las llaves encriptadas del panel de control, se aseguran que la data señalizada no lo esté, con el fin de ejecutar código malicioso en el servidor de Exchange.
  5. El código malicioso se ejecuta con privilegios de sistema, dando al atacante el total control del servidor.

Microsoft lanzó la actualización de seguridad para esta falla el 11 de febrero del presente año, además de advertir a los administradores de sistemas que actualicen el sistema lo antes posible, anticipando ataques futuros.

Nada había pasado por aproximadamente dos semanas. Pero la situación empeoró a finales del mes cuando fue reportada por Microsoft como una vulnerabilidad de Zero-Day, en donde Microsoft publico en detalle la falla y como trabaja. Dicho reporte, sirvió de guía para los investigadores en ciberseguridad, quienes usaron la información contenida para crear pruebas de concepto (proof-of-concept) por motivo de ser utilizados en sus propios servidores, con el fin de crear reglas de detección y prepararse para futuras mitigaciones. De estas pruebas de conceptos, surgieron varios proyectos de código abierto, que proporcionan información acerca de la vulnerabilidad (Metasploits), que actualmente ronda por la internet.

Por otra lado, al publicar los detalles técnicos y la divulgación de Metasploits públicos, también los hackers comenzaron a prestar atención. Causando que el 26 de febrero del presente año (un día después de la publicación del reporte de la vulnerabilidad Zero-Day), los hackers comenzaron a escanear la internet en busca de servidores Exchange vulnerables. El primer escaneo de este tipo fue detectado por Bad Packets.

Reporte de Bad Packets


Según los investigadores, los escaneos actualmente pasaron a ser ataques, donde los primeros en utilizar esta vulnerabilidad como arma fueron los grupos de piratas informáticos patrocinados por algún estado, conocidas como APT’s (Advanced Persistent Threats).

Cabe destacar que los expertos esperan que otros grupos hagan lo mismo, anticipando que es solo cuestión de tiempo, para que la falla se vuelva muy popular entre las pandillas de ransomware enfocadas a las redes empresariales. 

La vulnerabilidad no es fácil de explotar, debido a que la vulnerabilidad [CVE-2020-0688] para ser explotada el atacante necesita saber las credenciales para una cuenta de correos en el servidor Exchange, algo que no es fácil de obtener por hackers novatos. Aunque eso no mantendrá alejados a las APT’s, ni a los ciberdelincuentes de ransomware dirigidos a empresas.

Desde Arkavia Networks, recomendamos encarecidamente a todos los usuarios o administradores de Microsoft Exchange Server la instalación del parche de seguridad para esta vulnerabilidad lo más pronto posible.



Fuente:

COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Hackers gubernamentales están explotando vulnerabilidad en los servidores Exchange
Hackers gubernamentales están explotando vulnerabilidad en los servidores Exchange
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhpW_RfjWjRIwrC7al5eKlo-houTg7S0XC1pHIDc-rl1PPvgrc9h0kG6sjZhwbFDETvwnNTmjiKi5YOHXY-941c0WQMlvJgDs88r4da9aUZQG_IFaqze2gBzg4G2xkyWf-WjCdz_dNph0U/s640/Exchange+server+vulnerability.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhpW_RfjWjRIwrC7al5eKlo-houTg7S0XC1pHIDc-rl1PPvgrc9h0kG6sjZhwbFDETvwnNTmjiKi5YOHXY-941c0WQMlvJgDs88r4da9aUZQG_IFaqze2gBzg4G2xkyWf-WjCdz_dNph0U/s72-c/Exchange+server+vulnerability.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/03/hackers-gubernamentales-estan.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/03/hackers-gubernamentales-estan.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy