La poca prontitud por parte de Microsoft para abordar las vulnerabilidades Zero-Day, que afectan a los servidores de correos Microsoft Exchange también llamadas como ProxyLogon, causaron que las organizaciones tuvieran muy poco tiempo para prepararse antes la campaña masiva de explotación que aún sigue activa.
Según un grupo de expertos, los atacantes tuvieron una ventaja de dos meses para vulnerar los objetivos antes que los parches de seguridad estuvieran disponibles por parte Microsoft, por no haber recibido a tiempo el reporte de vulnerabilidad.
Esa situación ha causado que actualmente todos los servidores expuestos y vulnerables de Microsoft Exchange, sean un objetivo de ataque atractivo para un amplio espectro de actores maliciosos, entre ellos se encuentran los grupos respaldados por estados (ATP), los dedicados a la propagación de Ransomware, y los dedicados a secuestrar los recursos de los servidores para realizar actividades de cripto-minería, de los mencionados todos ya han explotado ProxyLogon en algunos servidores.
Según el grupo de expertos la vulnerabilidad crítica CVE-2021-26855, la cual es una falla de falsificación de solicitud del lado del servidor (SSRF - Server-side request forgery), que permite saltarse los controles de autenticación en Microsoft Exchange, fue reportada el 10 de Diciembre del 2020, además de otra vulnerabilidad (CVE-2021-27065) reportada por el mismo experto a finales del mes de Diciembre, que permite su utilización para realizar la ejecución de código remoto en el servidor afectado. Donde este descubrimiento fue informado a Microsoft el 5 de Enero del 2021 por el experto, junto con un exploit que encadenaba las dos fallas para probar la validez de su hallazgo.
Pero según investigaciones, la explotación de la vulnerabilidad inició el 3 de Enero del 2021, dos días después que el investigador enviará el reporte a Microsoft. Luego de estas fechas, varias compañías de ciberseguridad detectaron ataques dirigidos hacia varios servidores Exchange durante el resto del mes de Enero, en los ambientes de cliente usando vulnerabilidades Zero-day. Entre ellos, se encontró a un cliente de FireEye, el cual sufrió una brecha de seguridad donde el intruso creó “webshells” para el acceso persistente y ejecución remota de código, esta explotación es seguida como CVE-2021-26858.
Esta inyección de “webshells” (ASPX files), también fueron observados por otro grupo de expertos, entre otras actividades que eran seguidas luego de la inyección, como volcado de credenciales, adición de cuentas de usuario, robo de las copias de la base de datos del Active Directory (NTDS.DIT) y el movimiento lateral en la red del servidor comprometido.
Un mes después, Microsoft abordó las vulnerabilidades seguidas como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065 con los parches de seguridad correspondientes en una actualización fuera de banda el 2 de Marzo del 2021, donde atribuyó los incidentes a un grupo de hackers apoyado por el estado Chino y que opera fuera de ese país llamado “Hafnium”.
Según los investigadores “Hafnium”, pudo haber comprometido un aproximado de 68.500 servidores Exchanges antes de que los parches de seguridad oficiales estuvieran disponibles y destacan que este grupo no fue el único que se aprovechó de las fallas antes que fueran parcheadas, entre estos grupos se mencionan a Tick, LuckyMouse, Calypso, Winnti, Websiic, entre otros.
Una vez que los parches de seguridad fueron publicados, los días subsiguientes se detectó una gran ola de ataques hacia los servidores Microsoft Exchange expuestos directamente a internet, donde se observó la explotación de ProxyLogon para diferentes actividades, como ciberespionaje, secuestro mediante ransomware, cripto-minería, etc.
Por si fuera poco, a los pocos días aparecieron por Internet múltiples pruebas de concepto (PoC) para la explotación masiva de la vulnerabilidad. Cabe destacar que en un intento de evitar la propagación de estos, la primera variante de las PoC con el exploit para la ejecución de código remoto fue extraído por Microsoft rápidamente de GitHub, pero inevitablemente a la semana emergieron nuevas PoC de ProxyLogon por toda la internet.
Según investigaciones, a la fecha de esta publicación, hay cerca de 59.218 servidores Microsoft Exchange potencialmente expuestos. Una cifra más pequeña que los 80.000 anunciados por Palo Alto Networks entre el 8 y 11 de Marzo. Pero la cifra restante sigue siendo una gran cantidad de servidores vulnerables que deben ser parcheados tan pronto como sea posible (ASAP).
Servidores Microsoft Exchange expuestos entre el 8 y 11 de Marzo
Desde Arkavia Networks recomendamos a todos los administradores de servidores Microsoft Exchange, parchear las vulnerabilidades tan pronto como sea posible (ASAP), sobretodo, cuando las investigaciones han arrojado que los intentos de exposición de ProxyLogon incrementaron 10 veces más en los últimos cuatro días. Así como revisar la lista de IoCs anexada a continuación.
IoCs:
Chequear cualquier archivo ASPX sospechoso ubicado en “C:\inetpub\wwwroot\aspnet_client\system_web\”, sobre todo los siguientes nombres de archivos:
- hell.aspx
- supp0rt.aspx
- aspnet.aspx
- aspnet_client.aspx
- client.aspx
- OutlookEN.aspx
Y cualquier archivo con nombre aleatorio en el subdirectorio “system_web”
Ransomware DearCry
feb3e6d30ba573ba23f3bd1291ca173b7879706d1fe039c34d53a4fdcdf33ede
e044d9f2d0f1260c3f4a543a1e67f33fcac265be114a1b135fd575b860d2b8c6
10bce0ff6597f347c3cca8363b7c81a8bff52d2ff81245cd1e66a6e11aeb25da
2b9838da7edb0decd32b086e47a31e8f5733b5981ad8247a2f9508e232589bff
Referencias:
COMENTARIOS