Recomendaciones como respuesta a las últimas vulnerabilidades de Microsoft Exchange Server
Hasta 30.000 empresas y agencias gubernamentales en los EE. UU. han sido blanco de una agresiva campaña de piratería que explota vulnerabilidades en versiones de Microsoft Exchange Server, y algunos expertos afirman que se han explotado "cientos de miles" de servidores Exchange en todo el mundo. Microsoft atribuye estos ataques a una organización de ciberespionaje conocida como HAFNIUM, que opera desde China continental.
Millones de organizaciones utilizan Microsoft Exchange Server para correo electrónico y calendario, así como una solución de colaboración. Este vector de explotación se dirige a los servidores Microsoft Exchange capaces de recibir conexiones que no son de confianza de una fuente externa. Entre sus capacidades se encuentra un ataque de ejecución remota de código (Remote Code Execution o RCE) que permite a los atacantes instalar puertas traseras en la red para su uso posterior. Una vez instaladas, estas puertas traseras pueden permanecer activas incluso después de parchear el exploit original.
El 2 de marzo, Microsoft lanzó varios parches para sus versiones locales de Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019. Estos parches llegaron como respuesta a varios exploits in-the-wild dirigidos a las vulnerabilidades CVE-2021-26855, CVE- 2021-26857, CVE-2021-26858 y CVE-2021-27065. El servicio en línea de Microsoft Exchange Server no se vió afectado.
Desde el lanzamiento de estos parches, HAFNIUM ha acelerado elataque de estas vulnerabilidades, probablemente buscando comprometer a tantas organizaciones como sea posible antes de que las empresas puedan aplicar los parches de Microsoft (*).
Detalles de amenazas sobre las vulnerabilidades de Microsoft Exchange Server
Según Microsoft, HAFNIUM es un grupo de ciberespionaje patrocinado por el gobierno, que se dirige principalmente a entidades en los Estados Unidos en varios sectores industriales, incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONG. Su objetivo principal es obtener acceso a redes valiosas con el fin de filtrar datos a sitios de intercambio de archivos como MEGA. Sin embargo, informes recientes han demostrado que esta es ahora una campaña global que está siendo aprovechada por otros actores de amenazas como resultado de revertir el parche de fuera de límites para causar más daño.
En esta operación, se encadenaron cuatro vulnerabilidades específicas (vulnerabilidad de ejecución remota de código de Microsoft Exchange Server) para permitir que los actores de la amenaza exploten los servidores de Exchange en las instalaciones.
Estos son los detalles:
Esta vulnerabilidad de ejecución remota de código existe en Microsoft Exchange Server. Una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) permite que un explotador envíe solicitudes HTTP arbitrarias para autenticarse como el servidor Exchange. Esta vulnerabilidad es parte de una cadena de ataque y, para tener éxito, se debe permitir un intento de conexión mediante una conexión que no sea de confianza en el puerto 443 del servidor Exchange.
Esta es una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada de Microsoft Exchange Server. Aprovechar esta vulnerabilidad permite a un adversario malintencionado ejecutar código con privilegios elevados (SISTEMA) en el servidor Exchange. Para aprovechar esta vulnerabilidad, deben estar disponibles ciertos criterios, como los permisos de administrador existentes o el encadenamiento de otra vulnerabilidad en paralelo.
En esta vulnerabilidad de ejecución remota de código de Microsoft Exchange Server, un explotador puede realizar una escritura de archivo arbitraria posterior a la autenticación. Una vez que se realiza la autenticación en el servidor, un actor puede colocar un archivo en cualquier ubicación de un servidor. Esta vulnerabilidad se puede encadenar comprometiendo las credenciales de administrador de Exchange conocidas o mediante una autenticación no autorizada realizada mediante la explotación de CVE-2021-26855 (SSRF).
Esta vulnerabilidad de ejecución remota de código permite a un adversario malintencionado realizar una escritura de archivo arbitrario posterior a la autenticación en un Microsoft Exchange Server vulnerable. Una vez autenticado, un actor puede colocar un archivo en cualquier ubicación de un servidor. Esta vulnerabilidad se puede encadenar comprometiendo credenciales de administrador de Exchange conocidas o aprovechando CVE-2021-26855 (SSRF) para autenticarse.
Lo que puedes hacer – Mejores prácticas
Si cree que su organización es vulnerable a este exploit, le recomendamos las siguientes acciones:
• Aplicar un "parche caliente", que según Phil Quade, CISO de Fortinet, es la estrategia de actualizar los dispositivos de seguridad para bloquear automáticamente los intentos de explotación utilizando firmas del exploit del actor de amenazas mientras trabaja para actualizar y parchear los dispositivos.
• Realice un inventario de activos para identificar todos los servidores Microsoft Exchange implementados en su organización.
• Ejecute verificaciones de versión para ver si se han parcheado.
• Aplique los parches adecuados siempre que sea posible. Los dispositivos que no se pueden parchear deben protegerse detrás de un dispositivo de seguridad capaz de detectar y prevenir tal vulnerabilidad.
• Aplique escaneo avanzado aprovechando los indicadores de compromiso conocidos para detectar abandonos y comportamientos anómalos que resultan de una infracción exitosa, como el uso de una puerta trasera no autorizada.
Protecciones de Microsoft
Los parches fuera de banda se pusieron a disposición de Microsoft para su descarga el 2 de marzo de 2021. Son para las vulnerabilidades CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065. Se recomienda que todos los parches disponibles para los servidores de Microsoft Exchange afectados se apliquen de inmediato.
Microsoft también ha emitido mitigaciones alternativas para las organizaciones que no pueden parchear o actualizar inmediatamente sus servidores Microsoft Exchange afectados.
Existe la posibilidad de que Microsoft Exchange Server 2010 también sea vulnerable. Esta versión NO está protegida por los cuatro parches de vulnerabilidad emitidos por Microsoft enumerados anteriormente. Microsoft ha proporcionado una guía de defensa en profundidad para las organizaciones que ejecutan Exchange 2010.
Otras protecciones
Según Microsoft, el exploit inicial requiere la capacidad de realizar una conexión no confiable al puerto 443 del servidor Exchange. Además de restringir las conexiones no confiables, los clientes de Fortinet pueden usar FortiVPN para separar el servidor Exchange del acceso externo. Sin embargo, esta estrategia de mitigación solo es efectiva contra la parte inicial del ataque (CVE-2021-26857). Otras partes de la cadena aún pueden activarse si los atacantes ya tienen acceso o si pueden convencer a un administrador para que ejecute un archivo malicioso. Si se utiliza esta táctica, se recomienda que las organizaciones den prioridad a la instalación inmediata de todos los parches de Exchange Server disponibles.
Debido a la facilidad de interrupción que permite este exploit y al potencial de dañar las operaciones diarias, es esencial que las organizaciones mantengan todas las firmas de AV e IPS actualizadas. Es fundamental que las organizaciones establezcan una evaluación de seguridad periódica y una rutina de parcheo. Esto garantiza que todas las vulnerabilidades conocidas de los proveedores se aborden y actualicen constantemente para evitar que los atacantes establezcan un punto de apoyo dentro de la red.
(*) FortiGuard Labs recibió una notificación de estas vulnerabilidades como parte de la membresía en MAPP (Programa de protección activa de Microsoft). Publicamos un informe Threat Signal con detalles sobre este exploit el 3 de marzo. También lanzamos cuatro parches IPS de FortiGuard el 3 y 4 de marzo para proteger a los clientes de Fortinet de estos ataques. Las implementaciones predeterminadas de FortiEDR y FortiXDR detectarán y bloquearán la actividad posterior a la explotación, incluido el volcado de la memoria LSASS, la ejecución de las herramientas Nishang y PowerCat descritas en el blog de Microsoft. También publicamos una alerta de brote de FortiGuard el 9 de marzo.
Nota: Para otros datos y acciones específicas para responder a este ataque en empresas usando sistemas Fortinet, visite este artículo.
Fuente: fortinet.com / FortiGuard Labs