Microsoft corrige la explotación de días cero de Trade Server …



Microsoft corrige múltiples vulnerabilidades de Trade Server que se utilizan como arma en los ataques de un grupo que cree que opera fuera de China.

Microsoft ha publicado parches para cuatro vulnerabilidades críticas que se utilizan para atacar versiones locales de Microsoft Exchange Server en ataques «limitados y dirigidos». Atribuye la actividad a un grupo llamado Hafnium, que los funcionarios creen que está patrocinado por el estado y opera fuera de China.

Los días cero recientemente explotados incluyen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065. Microsoft insta a los clientes a actualizar sus sistemas locales con los parches «inmediatamente» y dice que estas fallas afectan las versiones 2013, 2016 y 2019 de Microsoft Trade Server. Trade On line no se ve afectado.

En los detalles técnicos de un publicación de weblog compartida hoy, Microsoft dice que CVE-2021-26855 es una vulnerabilidad de solicitud del lado del servidor (SSRF) que permite a un atacante enviar solicitudes HTTP arbitrarias y luego autenticarse como el servidor Trade. CVE-2021-26857 es una falla de deserialización insegura en el servicio de mensajería unificada explotar esto permite a los atacantes ejecutar código como Technique en el servidor.

CVE-2021-26858 y CVE-2021-27065 son vulnerabilidades de escritura de archivos arbitrarios posteriores a la autenticación en Trade. Si un atacante pudiera autenticarse con el servidor de Exchange, podría usar estas fallas para escribir un archivo en cualquier ruta del servidor. Microsoft señala que primero podrían autenticarse explotando la falla SSRF CVE-2021-26855 o comprometiendo las credenciales de administrador.

Hafnium ha estado utilizando estas vulnerabilidades previamente desconocidas como parte de una cadena de ataque. Hasta ahora, este es el único actor que Microsoft ha visto usando estos exploits.

Sus ataques se componen de tres pasos: Hafnium primero obtiene acceso a un servidor de Exchange, ya sea con una contraseña robada o explotando uno de los días cero del servidor de Exchange para aparecer como alguien con acceso legítimo. Luego, los atacantes implementan un shell world-wide-web para poder controlar de forma remota un servidor afectado. Este acceso remoto les permite robar datos de organizaciones objetivo.

Microsoft señala que este grupo descargó la libreta de direcciones sin conexión de Trade de los sistemas de destino al hacerlo, Hafnium pudo acceder a datos sobre el negocio objetivo y sus usuarios. Exchange Server es utilizado principalmente por empresas los funcionarios señalan que no hay evidencia que indique que Hafnium se haya dirigido a consumidores individuales o que sus exploits afecten a otros productos de Microsoft.

¿Quién es el hafnio?
Microsoft atribuye esta campaña a Hafnium «con gran confianza». Esta es la primera vez que se habla de Hafnium, un actor patrocinado por el estado descrito como «altamente calificado y sofisticado». Si bien se cree que ataca desde China, Hafnium realiza principalmente sus operaciones desde servidores privados virtuales alquilados en los Estados Unidos, donde se encuentran la mayoría de sus víctimas.

Hafnium se dirige principalmente a organizaciones con sede en EE. UU. Para robar datos en todas las industrias. Anteriormente se ha dirigido a bufetes de abogados, investigadores de enfermedades infecciosas, instituciones de educación outstanding, contratistas de defensa, grupos de expertos en políticas y organizaciones no gubernamentales (ONG). Informes de Microsoft.

A los investigadores de Volexity y Dubex se les atribuye haber alertado a Microsoft sobre aspectos de esta nueva actividad de Hafnium y trabajar con ellos para abordarlos. Las agencias gubernamentales estadounidenses también han sido informadas de los ataques. Se pueden encontrar detalles y orientación sobre las actualizaciones. aquí.

Microsoft proporciona indicadores de compromiso, ayuda para la detección y consultas de búsqueda avanzadas en su redacción para que las empresas puedan determinar si han sido blanco de este tipo de ataque.

El ataque inicial requiere una conexión no confiable al puerto 443 de Exchange Server. Como mitigación, Microsoft señala que las organizaciones pueden protegerse contra esto bloqueando las conexiones no confiables o usando una VPN para separar un servidor Trade del acceso externo. Sin embargo, Microsoft señala que esto solo funcionará para bloquear el acceso inicial. Si los atacantes ya tienen acceso o pueden convencer a un administrador para que ejecute un archivo malicioso, es posible que puedan iniciar otras etapas en la cadena de ataque.

«Aunque hemos trabajado rápidamente para implementar una actualización para los exploits de Hafnium, sabemos que muchos actores estatales y grupos criminales se moverán rápidamente para aprovechar cualquier sistema sin parche», escribieron los funcionarios de Microsoft en una publicación de blog site. «La aplicación inmediata de los parches actuales es la mejor protección contra este ataque».

Microsoft también reconoce que los exploits anunciados hoy no están relacionados con ataques relacionados con el incidente de SolarWinds.

Kelly Sheridan es la editora de own de Dim Looking at, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique