Microsoft ha lanzado parches fuera de la periodicidad habitual para varias vulnerabilidades de Exchange Server. De acuerdo con la empresa, cuatro de estas vulnerabilidades ya se están usando en ataques dirigidos, por lo que sería prudente instalar los parches lo antes posible.
¿Cuáles son los riesgos?
Las cuatro vulnerabilidades más peligrosas que ya se están explotando permiten que los atacantes pongan en marcha un ataque de tres fases. Primero, acceden a un servidor de Exchange, después crean un web shell para acceder en remoto al servidor y, por último, utilizan ese acceso para robar los datos de la red de la víctima. Las vulnerabilidades son:
- CVE-2021-26855: puede usarse para un ataque de falsificación de solicitud del lado del servidor, lo que genera un código de ejecución remoto.
- CVE-2021-26857: puede utilizarse para ejecutar códigos arbitrarios de parte del sistema (aunque requiere permisos de administrador o haber explotado la vulnerabilidad anterior).
- CVE-2021-26858 y CVE-2021-27065: el atacante puede utilizarlas para sobrescribir los archivos del servidor.
Los ciberdelincuentes utilizan las cuatro vulnerabilidades en conjunto; sin embargo, de acuerdo con Microsoft, en lugar de un ataque inicial, a veces utilizan credenciales robadas y se autentifican a sí mismos en el servidor sin utilizar la vulnerabilidad CVE-2021-26855.
Además, el mismo parche pone solución a otras vulnerabilidades menores en Exchange que no están (hasta donde sabemos) relacionadas directamente con los ataques dirigidos activos.
¿Quién está en peligro?
Estas vulnerabilidades no afectan a la versión en la nube de Exchange; solo son una amenaza para los servidores instalados dentro de la infraestructura. En un principio, Microsoft lanzó actualizaciones para Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 y Microsoft Exchange Server 2019, y una actualización de “Defense in Depth” adicional para Microsoft Exchange Server 2010. Sin embargo, debido a la gravedad de la situación, también agregaron después soluciones para servidores de Exchange obsoletos.
De acuerdo con los investigadores de Microsoft, fueron los atacantes del grupo Hafnium quienes aprovecharon estas vulnerabilidades para robar información confidencial. Entre sus objetivos se incluyen empresas industriales, investigadores de enfermedades infecciosas, bufetes de abogados, organizaciones sin ánimo de lucro y analistas políticos de los Estados Unidos. Se desconoce el número exacto de víctimas, pero de acuerdo con las fuentes de KrebsOnSecurity, al menos 30000 organizaciones de los Estados Unidos, incluidas pequeñas empresas, administraciones y gobiernos locales, se han visto atacadas por estas vulnerabilidades. Nuestros expertos han descubierto que no solo las organizaciones estadounidenses están en peligro: los ciberdelincuentes de todo el mundo están usando estas vulnerabilidades. Puedes encontrar más información sobre la geografía del ataque en esta publicación de Securelist.
¿Cómo mantenerse a salvo de los ataques en MS Exchange
- En primer lugar, parchea tu instalación de Microsoft Exchange Server. Si tu empresa no puede instalar actualizaciones, Microsoft recomienda múltiples soluciones.
- De acuerdo con Microsoft, denegar los intentos de acceso sospechosos al servidor de Exchange en el puerto 443 o, en general, limitar las conexiones desde fuera de la red corporativa puede detener la fase inicial del ataque. Pero esto no será útil si los atacantes ya están dentro de la infraestructura o si logran que un usuario con permisos de administrador ejecute un archivo malicioso.
- Una solución de tipo Endpoint Detection and Response (si cuentas con expertos internos) o expertos externos en servicios de Managed Detection and Response pueden detectar este comportamiento malicioso.
- Recuerda siempre que todos los ordenadores conectados a Internet, por medio de un servidor o estación de trabajo, necesitan una solución de seguridad para endpoints de confianza para evitar exploits y detectar de forma proactiva el comportamiento malicioso.