Varios grupos de estado-nación están pirateando servidores de Microsoft Exchange


Microsoft Exchange

Múltiples grupos de piratería respaldados por el gobierno están explotando una vulnerabilidad recientemente parcheada en los servidores de correo electrónico de Microsoft Exchange.

Los intentos de explotación fueron vistos por primera vez por la firma británica de ciberseguridad Volexity el viernes y confirmados hoy a ZDNet por una fuente en el Departamento de Defensa.

Volexity no compartió los nombres de los grupos de hackers que explotan esta vulnerabilidad de Exchange. Volexity no devolvió una solicitud de comentarios para obtener detalles adicionales.

La fuente del DOD describió a los grupos de piratería como "todos los grandes jugadores", y también declinó nombrar grupos o países.

La vulnerabilidad de Microsoft Exchange

Estos grupos de piratería patrocinados por el estado están explotando una vulnerabilidad en los servidores de correo electrónico de Microsoft Exchange que Microsoft parchó el mes pasado, en el martes de parche de febrero de 2020.

La vulnerabilidad se rastrea bajo el identificador de CVE-2020-0688. A continuación se muestra un resumen de los detalles técnicos de la vulnerabilidad:

  • Durante la instalación, los servidores de Microsoft Exchange no pueden crear una clave criptográfica única para el panel de control de Exchange.
  • Esto significa que todos los servidores de correo electrónico de Microsoft Exchange lanzados durante los últimos 10 años utilizan claves criptográficas idénticas (validationKey y decryptionKey) para el backend de su panel de control.
  • Los atacantes pueden enviar solicitudes con formato incorrecto al panel de control de Exchange que contiene datos serializados maliciosos.
  • Dado que los piratas informáticos conocen las claves de cifrado del panel de control, pueden asegurarse de que los datos serializados no estén serializados, lo que resulta en un código malicioso que se ejecuta en el servidor del servidor Exchange.
  • El código malicioso se ejecuta con privilegios de SYSTEM, dando a los atacantes el control total del servidor.

Microsoft lanzó parches para este error el 11 de febrero, cuando también advirtió a los administradores de sistemas que instalaran las soluciones lo antes posible, anticipando futuros ataques.

No pasó nada durante casi dos semanas. Sin embargo, las cosas se intensificaron hacia fines de mes, cuando la Iniciativa de Día Cero, que informó el error a Microsoft, publicó un informe técnico detallando el error y cómo funcionó.

El informe sirvió como una hoja de ruta para los investigadores de seguridad, que utilizaron la información contenida en ellos para elaborar exploits de prueba de concepto para que pudieran probar sus propios servidores y crear reglas de detección y preparar mitigaciones.

Al menos tres de estas pruebas de conceptos encontraron su camino en GitHub (1, 2, 3) UN Módulo Metasploit pronto seguido.

Al igual que en muchos otros casos anteriores, una vez que los detalles técnicos y el código de prueba de concepto se hicieron públicos, los hackers también comenzaron a prestar atención.

El 26 de febrero, un día después de la publicación del informe de la Iniciativa de Día Cero, los grupos de hackers comenzaron a buscar servidores de Exchange en Internet, compilando listas de servidores vulnerables a los que podrían dirigirse en una fecha posterior. Los primeros escaneos de este tipo fueron detectados por la empresa de inteligencia Bad Packets.

Ahora, de acuerdo con Volexity, los análisis de los servidores de Exchange se han convertido en ataques reales.

Los primeros en utilizar este error como arma fueron los APT: "amenazas persistentes avanzadas", un término que se usa a menudo para describir grupos de piratas informáticos patrocinados por el estado.

Sin embargo, también se espera que otros grupos hagan lo mismo. Investigadores de seguridad con quienes ZDNet habló hoy dijeron que anticipan que el error se volverá muy popular entre las pandillas de ransomware que se dirigen regularmente a las redes empresariales.

Armando credenciales phishing antiguas e inútiles

Sin embargo, esta vulnerabilidad de Exchange no es fácil de explotar. Los expertos en seguridad no ven que este error sea abusado por script kiddies (un término usado para describir a los piratas informáticos de bajo nivel y no calificados).

Para explotar el error de Exchange CVE-2020-0688, los piratas informáticos necesitan las credenciales para una cuenta de correo electrónico en el servidor de Exchange, algo que los niños de script no suelen tener.

La falla de seguridad CVE-2020-0688 es un llamado error posterior a la autenticación. Los hackers primero deben iniciar sesión y luego ejecutar la carga maliciosa que secuestra el servidor de correo electrónico de la víctima.

Pero aunque esta limitación mantendrá alejados a los niños del guión, no afectará a las APT ni a las pandillas de ransomware, dijeron los expertos.

Las bandas de APT y ransomware a menudo pasan la mayor parte de su tiempo lanzando campañas de phishing, después de lo cual obtienen credenciales de correo electrónico para los empleados de una empresa.

Si una organización aplica la autenticación de dos factores (2FA) para cuentas de correo electrónico, esas credenciales son esencialmente inútiles, ya que los piratas informáticos no pueden eludir 2FA.

El error CVE-2020-0688 permite a los APT finalmente encontrar un propósito para esas cuentas antiguas protegidas por 2FA que han phishing meses o años antes.

Pueden usar cualquiera de esas credenciales anteriores como parte del exploit CVE-2020-0688 sin necesidad de omitir 2FA, pero aún así hacerse cargo del servidor de Exchange de la víctima.

Se recomienda a las organizaciones que tienen "APT" o "ransomware" en su matriz de amenazas que actualicen sus servidores de correo electrónico de Exchange con las actualizaciones de seguridad de febrero de 2020 lo antes posible.

Todos los servidores de Microsoft Exchange se consideran vulnerables, incluso las versiones que han pasado el final de su vida útil (EoL). Para las versiones de EoL, las organizaciones deberían considerar la actualización a una versión más nueva de Exchange. Si actualizar el servidor de Exchange no es una opción, se recomienda a las empresas que fuercen el restablecimiento de la contraseña para todas las cuentas de Exchange.

Tomar el control de los servidores de correo electrónico es el Santo Grial de los ataques APT, ya que esto permite que los grupos de estados nacionales intercepten y lean las comunicaciones por correo electrónico de una empresa.

Históricamente, las APT se han dirigido a servidores de Exchange antes. Las APT anteriores que han pirateado Exchange incluyen Turla (un grupo vinculado a Rusia) y APT33 (un grupo iraní).

Esta publicación de blog de TrustedSec contiene instrucciones sobre cómo detectar si un servidor de Exchange ya ha sido pirateado a través de este error.





Enlace a la noticia original