Se identificaron cuatro vulnerabilidades de día cero en Microsoft Exchange Server que están siendo explotadas por un grupo de hackers conocidos como Hafnium que contaría con el apoyo del gobierno de China. Se estima que unas 30 mil organizaciones de EEUU han sido afectadas por este incidente y podría haber unas 60 mil víctimas en otras partes del mundo, de acuerdo con estimaciones publicadas por Bloomberg, aunque podría haber más ya que millones de organizaciones utilizan Exchange Server para el correo electrónico y el calendario, por ejemplo. De hecho, la Autoridad Bancaria Europea también se vio golpeada por este incidente.
Al parecer no sólo Hafnium estaría aprovechándose de este agujero de seguridad. La revista MIT Technology Review cita a Katie Nickels, un analista de ciberseguridad, que afirma que parece haber al menos cinco grupos de hackers que están explotando activamente las fallas de Exchange Server.
Según KrebsOnSecurity, el ataque comenzó el 6 de enero y se intensificó a finales de febrero. Microsoft, por su parte, lanzó sus parches con las actualizaciones para corregir las fallas de seguridad el 2 de marzo. Es decir que hubo dos meses en los cuales los atacantes tuvieron tiempo de explotar las vulnerabilidades y quienes no hayan actualizado todavía el servicio de Exchange tiene riesgo de ver su seguridad comprometida.
Cuáles son las vulnerabilidades
Las vulnerabilidades afectan a Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019. Exchange Online no se vio afectado por las fallas. Aquí un detalle de cada una de ellas y su impacto, según describe la compañía en su blog oficial.
-CVE-2021-26855 es una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Exchange que permitió al atacante enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.
-CVE-2021-26857 es una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada. La explotación de esta vulnerabilidad permitió ejecutar código como SYSTEM en el servidor Exchange. Esto requiere permiso de administrador u otra vulnerabilidad para explotar.
-CVE-2021-26858 es una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación en Exchange. Esta falla se podría usar para escribir un archivo en cualquier ruta del servidor.
-CVE-2021-27065 es una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación en Exchange que, como la anterior, podría usarse para escribir un archivo en cualquier ruta del servidor.
Al explotar estas vulnerabilidades, los atacantes pueden asegurarse acceso al servidor Exchange y luego pueden crear un web shell, que permiten crear puertas traseras en el sistema para tomar control del mismo y ejecutar comandos de manera remota. Esto podría derivar en robo de información, modificación de archivos, posteriores infecciones con nuevo malware y mucho más. Es prácticamente un pase de vía libre para que el atacante pueda hacer cualquiera de estas cosas.
Los responsables del ataque
En una publicación del 2 de marzo, el gigante de Redmond dijo que identificaron que el grupo Hafnium estaba detrás de los ataques. Hafnium es un grupo de amenazas persistentes avanzadas (APT) que cuenta con el apoyo de China.
Históricamente estos atacantes “apuntan principalmente a entidades en los Estados Unidos con el propósito de extraer información de varios sectores industriales, incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONG. Si bien Hafnium tiene su sede en China, realiza sus operaciones principalmente desde servidores privados virtuales (VPS) alquilados en los Estados Unidos”, explicó la compañía en aquel comunicado.
Sin embargo hoy no son los únicos detrás de estos incidentes. En una actualización de la información sobre este tema, la empresa dijo que hay otros actores involucrados además de Hafnium. Ocurre que una vez que las vulnerabilidades son conocidas y se comienzan a explotar es difícil predecir las ramificaciones que pueden tener estos incidentes, sobre todo si surge una demora en el lanzamientos de parches con las actualizaciones y los clientes demoran en instalarlos.
Se espera que la Administración de Biden forme un grupo de trabajo para explorar los vínculos identificados entre los ataques de Exchange y China, según CNN.
“Estamos llevando a cabo toda una respuesta gubernamental para evaluar y abordar el impacto. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió una directiva de emergencia para las agencias y ahora estamos trabajando con nuestros socios y analizando de cerca los próximos pasos que debemos tomar. Esta es una amenaza activa que aún se está desarrollando e instamos a los operadores de red a que se la tomen muy en serio“, dijo un funcionario de la Casa Blanca a ese medio.
Qué hacer
Microsoft instó a sus clientes a instalar los parches de seguridad de inmediato. En el blog se menciona el paso a paso para hacer esto y también se incluyen medidas de mitigación en caso de que no se pueda actualizar el servicio de inmediato. Ahora bien, es posible que aún cuando se instalen los sistemas ya se encuentren comprometidos.
La compañía publicó un script en GitHub disponible para que lo ejecuten los administradores de IT. En ese script se incluye indicadores de compromiso (IOC) vinculados a las cuatro vulnerabilidades.
SEGUIR LEYENDO: