Microsoft emite parches de emergencia durante 4 días 0 explotados en Exchange


La palabra DÍA CERO está oculta en medio de una pantalla llena de unos y ceros.

Microsoft insta a los clientes a instalar parches de emergencia lo antes posible para protegerse contra piratas informáticos altamente capacitados que están explotando activamente cuatro vulnerabilidades de día cero en Exchange Server.

El fabricante de software dijo que los piratas informáticos que trabajan en nombre del gobierno chino han estado utilizando exploits previamente desconocidos para piratear el software de Exchange Server local que está completamente parcheado. Hasta ahora, Hafnium, como Microsoft llama a los piratas informáticos, es el único grupo que ha visto explotar las vulnerabilidades, pero la compañía dijo que eso podría cambiar.

“A pesar de que hemos trabajado rápidamente para implementar una actualización para las vulnerabilidades de Hafnium, sabemos que muchos actores estatales y grupos criminales se moverán rápidamente para aprovechar cualquier sistema sin parches”, dijo el vicepresidente corporativo de seguridad y confianza del cliente de Microsoft, Tom. Burt escribió en un publicación publicada el martes por la tarde. “La aplicación inmediata de los parches actuales es la mejor protección contra este ataque”.

Burt no identificó los objetivos más que para decir que son empresas que utilizan software Exchange Server local. Dijo que Hafnium opera desde China, principalmente con el propósito de robar datos de investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y organizaciones no gubernamentales con sede en Estados Unidos.

Burt agregó que Microsoft no está al tanto de que se esté atacando a consumidores individuales o que los exploits afectaron a otros productos de Microsoft. También dijo que los ataques no están relacionados de ninguna manera con la Hacks relacionados con SolarWinds que violó al menos nueve agencias gubernamentales de Estados Unidos y alrededor de 100 empresas privadas.

Los días cero están presentes en Microsoft Exchange Server 2013, 2016 y 2019. Las cuatro vulnerabilidades son:

  • CVE-2021-26855, una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que permitía a los atacantes enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.
  • CVE-2021-26857, una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada. La deserialización insegura ocurre cuando un programa deserializa datos que no son de confianza y controlables por el usuario. La explotación de esta vulnerabilidad le dio a Hafnium la capacidad de ejecutar código como SISTEMA en el servidor Exchange. Esto requiere permiso de administrador u otra vulnerabilidad para explotar.
  • CVE-2021-26858, una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación. Si Hafnium pudiera autenticarse con el servidor de Exchange, entonces podría usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. El grupo podría autenticarse explotando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.
  • CVE-2021-27065, una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación. Si Hafnium pudiera autenticarse con el servidor de Exchange, podrían usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podría autenticarse explotando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.

El ataque, dijo Burt, incluyó los siguientes pasos:

  1. Obtenga acceso a un servidor Exchange ya sea con contraseñas robadas o utilizando los días cero para disfrazar a los piratas informáticos como personal que debería tener acceso
  2. Cree un shell web para controlar el servidor comprometido de forma remota
  3. Use ese acceso remoto para robar datos de la red de un objetivo

Como es habitual en Hafnium, el grupo operaba desde servidores privados virtuales alquilados en EE. UU. Volexity, una empresa de seguridad que informó de forma privada los ataques a Microsoft, dicho los ataques parecían comenzar el 6 de enero.

“Si bien los atacantes parecen haber volado inicialmente en gran medida por debajo del radar simplemente robando correos electrónicos, recientemente pasaron a lanzar exploits para afianzarse”, escribieron los investigadores de Volexity Josh Grunzweig, Matthew Meltzer, Sean Koessel, Steven Adair y Thomas Lancaster. “Desde la perspectiva de Volexity, esta explotación parece involucrar a varios operadores que utilizan una amplia variedad de herramientas y métodos para descargar credenciales, moverse lateralmente y otros sistemas de puerta trasera”.

Más detalles, incluidos indicadores de compromiso, están disponibles aquí y aquí.

Microsoft le dio crédito a las firmas de seguridad Volexity y Dubex por informar en privado diferentes partes del ataque a Microsoft y ayudar en la investigación que siguió. Las empresas que utilizan una versión vulnerable de Exchange Server deben aplicar los parches lo antes posible.

Latest articles

Receta de chirivías asadas (fácil) | Cocina

Pele y recorte 2 libras de chirivías. Corta a la mitad cada chirivía en forma transversal. Corta a la mitad cada...

China impone sanciones a Wilbur Ross y otros seis estadounidenses

Actualizaciones de las relaciones entre Estados Unidos y ChinaRegístrese en myFT Daily Digest para ser el primero en enterarse de las noticias sobre...

Reforma fiscal en Colombia: 4 cosas que los inversores deben saber

El gobierno colombiano ha presentado recientemente una nueva reforma tributaria al Congreso de Colombia que tiene como objetivo ayudarlo a recaudar fondos en...
49.6k Followers
Follow

Related articles

Leave a reply

Please enter your comment!
Please enter your name here

Translate »