Microsoft Exchange Server es un software exclusivo para servidores con sistema operativo Windows Servers, donde provee los servicios de correo y calendario.
Recientemente múltiples grupos de hackers apoyados por diferentes gobiernos están explotando una vulnerabilidad parcheada el mes pasado en los servidores de correo Microsoft Exchange. El grupo de investigadores que observaron por primera vez la situación, no compartieron los nombres de los grupos que están explotando esta vulnerabilidad, solamente describieron a estos grupos de hackers como “todos los grandes jugadores”, para declinar los nombres o países a los que pertenecen.
La vulnerabilidad [CVE-2020-0688] posee los siguientes detalles técnicos:
- Durante la instalación, los servidores Microsoft Exchange fallan en crear una única llave criptográfica para el panel de control de Exchange.
- Esto significa que todos los servidores de correos Microsoft Exchange instalados durante los últimos 10 años usan la misma llave criptográfica, utilizada para respaldar su panel de control.
- Los atacantes pueden enviar peticiones malformadas hacia el panel de control de Exchange, donde contengan datos de señalización maliciosa.
- Debido a que los hackers conocen las llaves encriptadas del panel de control, se aseguran que la data señalizada no lo esté, con el fin de ejecutar código malicioso en el servidor de Exchange.
- El código malicioso se ejecuta con privilegios de sistema, dando al atacante el total control del servidor.
Microsoft lanzó la actualización de seguridad para esta falla el 11 de febrero del presente año, además de advertir a los administradores de sistemas que actualicen el sistema lo antes posible, anticipando ataques futuros.
Nada había pasado por aproximadamente dos semanas. Pero la situación empeoró a finales del mes cuando fue reportada por Microsoft como una vulnerabilidad de Zero-Day, en donde Microsoft publico en detalle la falla y como trabaja. Dicho reporte, sirvió de guía para los investigadores en ciberseguridad, quienes usaron la información contenida para crear pruebas de concepto (proof-of-concept) por motivo de ser utilizados en sus propios servidores, con el fin de crear reglas de detección y prepararse para futuras mitigaciones. De estas pruebas de conceptos, surgieron varios proyectos de código abierto, que proporcionan información acerca de la vulnerabilidad (Metasploits), que actualmente ronda por la internet.
Por otra lado, al publicar los detalles técnicos y la divulgación de Metasploits públicos, también los hackers comenzaron a prestar atención. Causando que el 26 de febrero del presente año (un día después de la publicación del reporte de la vulnerabilidad Zero-Day), los hackers comenzaron a escanear la internet en busca de servidores Exchange vulnerables. El primer escaneo de este tipo fue detectado por Bad Packets.
Reporte de Bad Packets
Según los investigadores, los escaneos actualmente pasaron a ser ataques, donde los primeros en utilizar esta vulnerabilidad como arma fueron los grupos de piratas informáticos patrocinados por algún estado, conocidas como APT’s (Advanced Persistent Threats).
Cabe destacar que los expertos esperan que otros grupos hagan lo mismo, anticipando que es solo cuestión de tiempo, para que la falla se vuelva muy popular entre las pandillas de ransomware enfocadas a las redes empresariales.
La vulnerabilidad no es fácil de explotar, debido a que la vulnerabilidad [CVE-2020-0688] para ser explotada el atacante necesita saber las credenciales para una cuenta de correos en el servidor Exchange, algo que no es fácil de obtener por hackers novatos. Aunque eso no mantendrá alejados a las APT’s, ni a los ciberdelincuentes de ransomware dirigidos a empresas.
Desde Arkavia Networks, recomendamos encarecidamente a todos los usuarios o administradores de Microsoft Exchange Server la instalación del parche de seguridad para esta vulnerabilidad lo más pronto posible.
Fuente:
COMENTARIOS