El ataque de día cero de Microsoft Exchange de alto nivel amenaza a 220.000 servidores

Microsoft confirmó el jueves por la noche la existencia de dos vulnerabilidades críticas en su aplicación Exchange que ya han comprometido varios servidores y representan un grave riesgo para aproximadamente 220.000 personas más en todo el mundo. Las vulnerabilidades actualmente sin parchear se han explotado activamente desde principios de agosto, cuando la empresa de seguridad GTSC con sede en Vietnam descubrió que las redes de los clientes estaban infectadas con webshells maliciosos y que el primer punto de entrada era algún tipo de vulnerabilidad de Exchange. El misterioso exploit parecía casi idéntico a un día cero de Exchange de 2021 llamado ProxyShell, pero todos los servidores de los clientes habían sido parcheados contra la vulnerabilidad rastreada como CVE-2021-34473. Eventualmente, los investigadores descubrieron que los piratas informáticos desconocidos estaban explotando una nueva vulnerabilidad en Exchange.

Webshells, puertas traseras y sitios web falsos

«Después de dominar con éxito el exploit, registramos ataques para recopilar información y afianzarnos en el sistema de la víctima», escribieron los investigadores en una publicación publicada el miércoles. «El equipo de ataque también usó varias técnicas para crear puertas traseras en el sistema afectado y realizar movimientos laterales a otros servidores en el sistema». El jueves por la noche, Microsoft confirmó que las vulnerabilidades eran nuevas y dijo que estaba avanzando con el desarrollo y el intento de lanzamiento. parche. Las nuevas vulnerabilidades son: CVE-2022-41040, una vulnerabilidad de falsificación de solicitudes del lado del servidor, y CVE-2022-41082, que permite la ejecución remota de código cuando PowerShell está expuesto al atacante. «Actualmente, Microsoft está al tanto de ataques dirigidos limitados que utilizan las dos vulnerabilidades para comprometer los sistemas de los usuarios», escribieron los miembros del equipo del Centro de Respuesta de Seguridad de Microsoft. “En estos ataques, CVE-2022-41040 podría permitir que un atacante autenticado active de forma remota CVE-2022-41082.” Los miembros del equipo enfatizaron que los ataques exitosos requieren credenciales válidas para al menos un usuario de correo electrónico en el servidor. La vulnerabilidad afecta a los servidores de Exchange locales y no estrictamente al servicio de Exchange alojado por Microsoft. La gran advertencia es que muchas organizaciones que utilizan la oferta en la nube de Microsoft elegirán una opción que utilice una combinación de hardware local y en la nube. Estos entornos híbridos son tan vulnerables como los entornos locales independientes. Las búsquedas en Shodan muestran que actualmente hay más de 200 000 servidores Exchange locales expuestos a Internet y más de 1000 configuraciones híbridas.

  • Servidores de Exchange locales a lo largo del tiempo.

  • Servidores de Exchange locales por geografía.

  • Servidores de intercambio híbrido.

La publicación de GTSC del miércoles dijo que los atacantes están explotando el día cero para infectar servidores que ejecutan webshells, una interfaz de texto que les permite emitir comandos. Estos webshells contienen caracteres chinos simplificados, lo que lleva a los investigadores a sospechar que los piratas informáticos hablan chino con fluidez. Los comandos emitidos también llevan la firma de China Chopper, un webshell comúnmente utilizado por los actores de amenazas de habla china, incluidos varios grupos de amenazas persistentes avanzados que se sabe que cuentan con el apoyo de la República Popular China. GTSC continuó diciendo que el malware que los atacantes finalmente instalan emula el servicio web Exchange de Microsoft. También se conecta a la dirección IP 137[.]184[.]67[.]33 que está codificado en binario. El investigador independiente Kevin Beaumont dijo que la dirección aloja un sitio web falso con un solo usuario con un tiempo de inicio de sesión de un minuto y solo ha estado activo desde agosto.
Kevin Beaumont Luego, el malware envía y recibe datos cifrados con una clave de cifrado RC4 generada en tiempo de ejecución. Beaumont continuó diciendo que el malware de puerta trasera parece ser nuevo, lo que significa que esta es la primera vez que se usa en la naturaleza. Las personas que ejecutan servidores de Exchange locales deben tomar medidas inmediatas. En particular, deben aplicar una regla de bloqueo que evite que los servidores acepten patrones de ataque conocidos. La regla se puede aplicar yendo a «Administrador de IIS -> Sitio web predeterminado -> Reescritura de URL -> Acciones». Por ahora, Microsoft también recomienda bloquear el puerto HTTP 5985 y el puerto HTTPS 5986, que los atacantes necesitan para explotar CVE-2022-41082. El aviso de Microsoft tiene otras sugerencias para detectar infecciones y prevenir vulnerabilidades hasta que haya un parche disponible.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.