Imagen: ZDNet
Los piratas informáticos del estado han violado las redes de dos municipios estadounidenses el año pasado, dijo el FBI en una alerta de seguridad enviada a socios de la industria privada la semana pasada.
Los ataques tuvieron lugar después de que los atacantes usaran la vulnerabilidad CVE-2019-0604 en Servidores Microsoft SharePoint para romper las redes de los dos municipios.
El FBI dice que una vez que los atacantes se establecieron en estas redes, «las actividades maliciosas incluyeron la filtración de información del usuario, la escalada de los privilegios administrativos y la caída de los depósitos world-wide-web para el acceso persistente remoto / puerta trasera».
«Debido a la sofisticación del compromiso y las Tácticas, Técnicas y Procedimientos (TTP) utilizados, el FBI cree que los actores no identificados de la nación estado están involucrados en el compromiso», dijo la agencia en su alerta de seguridad.
El FBI no pudo decir si ambas intrusiones fueron realizadas por el mismo grupo. La agencia tampoco nombró los dos municipios pirateados sin embargo, informó las dos infracciones con mayor detalle, enumerando los pasos de los atacantes en cada incidente.
Municipio # 1:
Se utilizó un servidor de SharePoint sin parche para obtener acceso a la crimson de un municipio de los EE. UU., Robar la foundation de datos de Lively Directory (Advert), comprometer las credenciales administrativas y soltar shells net para el acceso remoto / puerta trasera a los servidores comprometidos.
Se cargaron cuatro aspxwebshells, que parecían ser variantes de los shells website comúnmente disponibles o de código abierto, en el servidor de SharePoint comprometido y se utilizaron para facilitar el acceso adicional. Los actores cibernéticos cargaron una variedad de herramientas de obtención de credenciales de código abierto y disponibles públicamente, como Mimikatz, el marco de PowerSploit y PSEXEC en el directorio C: ProgramData . Los actores nombraron la mayoría de las herramientas con nombres de archivo de una sola letra (por ejemplo, k.exe y h.bat) antes de implementarlas en otros sistemas de la red.
El servidor de SharePoint se utilizó como punto de pivote en la crimson, lo que permite el acceso no autorizado a través de credenciales de administrador local comprometidas. Al menos cinco máquinas en la purple de la municipalidad contenían evidencia de ejecutables con nombres similares organizados en el directorio C: ProgramData . Más de 50 hosts en la pink mostraron evidencia de ejecución de Mimikatz. También hay evidencia de que los actores usaron el kerberoasting técnica para apuntar tickets de servicio Kerberos. Los actores pudieron acceder con éxito a varias cuentas de administrador de dominio.
La intrusión parece haberse detectado mientras los actores aún estaban en la fase de reconocimiento de la intrusión, por lo que no se pudieron determinar sus objetivos reales en el objetivo.
Municipio # 2:
En octubre de 2019, una segunda pink de la municipalidad de EE. UU. Fue atacada por usuarios no autorizados. La actividad de intrusión se detectó cuando se descubrieron las comunicaciones de Comando y Command (C2) del segmento de purple DMZ.
Al sitio web le faltaban parches, lo que llevó al compromiso. Los actores cibernéticos utilizaron la infraestructura de monitoreo de pink existente, así como servicios de terceros, para moverse lateralmente dentro de la DMZ. La actividad se detectó cuando los actores maliciosos obtuvieron acceso a otros dos hosts en el segmento DMZ: un servidor SQL y un servidor Microsoft Exchange que actúa como un reenviador SMPT. Estos servidores son parte del dominio de Advert y se detectaron actividades indicativas de la orientación del servicio de Advertisement.
Los hackers chinos del estado nación han explotado previamente este error
Los ataques a los municipios de los Estados Unidos no son casos aislados, ni son los primeros ataques donde se ha utilizado la vulnerabilidad de SharePoint CVE-2019-0604.
A lo largo de 2019, esta vulnerabilidad particular de SharePoint fue uno de los defectos de seguridad más explotados, tanto por ciberdelincuentes motivados financieramente como por grupos de ciberespionaje patrocinados por el estado.
Los primeros ataques detectados en la naturaleza fueron descubiertos por el Centro Canadiense de Seguridad Cibernética a fines de abril, cuando la agencia envió una alerta de seguridad sobre el asunto. El Centro Nacional de Seguridad Cibernética de Arabia Saudita (NCSC) confirmó una ola comparable de ataques una semana después, a principios de mayo.
Ambas agencias de ciberseguridad informaron que los atacantes se hicieron cargo de los servidores de SharePoint para plantar una versión del shell website China Chopper, un tipo de malware instalado en los servidores que permite a los piratas informáticos controlar los servidores pirateados (SharePoint).
Ninguna de las agencias nombró a los autores de estos ataques, pero la firma estadounidense de ciberseguridad Palo Alto Networks vinculó los dos informes a APT27 (Emissary Panda), un grupo de hackers con vínculos con el gobierno chino.
No está claro si el mismo grupo chino de piratería también estuvo detrás de los ataques a los dos municipios estadounidenses. ZDNet no pudo confirmar ningún vínculo entre el informe del FBI y la actividad pasada de APT27 e indicadores de compromiso.
El mistake de SharePoint se perdió en un ocupado 2019
A lo largo del año, los ataques que utilizan este error solo se intensificaron, ya que varios grupos de piratas informáticos comenzaron a darse cuenta de que period una vulnerabilidad que period fácil de explotar, había muchas compañías que no habían podido parchear, y los ataques generalmente daban acceso a gran cantidad de empresas de alto valor objetivos.
En la alerta de seguridad que envió la semana pasada, el FBI informó haber visto picos en la actividad de escaneo dirigida a la vulnerabilidad de SharePoint CVE-2019-0604 en mayo, junio y octubre de 2019, que solo confirma lo que ZDNet aprendió de las fuentes sobre un aumento en el número de ataques de SharePoint a medida que progresaba 2019.
Los escaneos y los ataques que utilizan esta vulnerabilidad fueron ayudados por la presencia de una gran cantidad de informes técnicos que explican el mistake (1, 2, 3), junto con un exceso de código de explotación de demostración disponible gratuitamente por los investigadores de seguridad que los atacantes podían elegir y personalizar según sus necesidades (1, 2, 3, 4 4, 5 5)
Pero en 2019, un año en el que tuvimos vulnerabilidades como BlueKeep, DejaBlue y las numerosas fallas de seguridad de VPN, el error de SharePoint pasó desapercibido, a pesar de una actividad de escaneo bastante intensa, e incluso confirmó los ataques llevados a cabo por grupos de piratería de los estados nacionales.
Antes de la alerta de seguridad del FBI de la semana pasada, no hubo ninguna otra notificación de seguridad related enviada por otras agencias importantes de seguridad cibernética, como DHS CISA o el NCSC del Reino Unido.
En retrospectiva, se espera que los ataques continúen, ya que todavía hay una gran cantidad de servidores SharePoints sin parchar en línea, a pesar del parche que se acerca a su primer aniversario el próximo mes.
Una de las razones por las que muchos servidores permanecen sin parches es porque Microsoft perdió el proceso de parcheo. Le tomó a la compañía tres parches para solucionar completamente este problema, con correcciones entregadas en febrero, marzo y abril.
Algunas empresas podrían haber instalado el parche de febrero, pensando que son seguras, pero sin saber que había un parche más completo disponible en abril.
Como varios expertos en ciberseguridad han señalado en Twitter, esta vulnerabilidad es bastante mala, y las organizaciones deberían investigar para verificar que instalaron los tres parches.
Instaría a todas las organizaciones con SharePoint a parchear con urgencia CVE-2019-0604, desde febrero de 2019. Todavía está ampliamente expuesto en línea, y lo susceptible es una ejecución de código remoto preautorizado 100% confiable.
– Kevin Beaumont (@GossiTheDog) 5 de enero de 2020
El sentido de urgencia al abordar esto debería ser fácil de entender.
El error es un llamado RCE preautorización (ejecución remota de código de autenticación previa). Los RCE previos a la autenticación son extremadamente atractivos para los atacantes, ya que son fáciles de automatizar y explotar.
En segundo lugar, SharePoint es un producto muy common, con Microsoft con más de 200,000 instalaciones en todo el mundo, lo que lo convierte en una gran superficie de ataque, la mayoría de las cuales son organizaciones gubernamentales de gran valor y grandes corporaciones.
