Los ciberespías chinos utilizaron 4 fallas de Exchange Server para saquear correos electrónicos – Krebs on Safety


Microsoft Corp. lanzó hoy actualizaciones de computer software para tapar cuatro agujeros de seguridad que los atacantes han estado utilizando para saquear las comunicaciones por correo electrónico en las empresas que utilizan su Servidor de intercambio productos. La compañía dice que las cuatro fallas están siendo explotadas activamente como parte de una compleja cadena de ataque desplegada por un grupo de ciberespionaje chino no identificado previamente.

El gigante del software package generalmente publica actualizaciones de seguridad el segundo martes de cada mes, pero ocasionalmente se desvía de ese programa al abordar ataques activos que apuntan a vulnerabilidades graves y recientemente identificadas en sus productos.

Los parches publicados hoy solucionan problemas de seguridad en Microsoft Trade Server 2013, 2016 y 2019. Microsoft dijo que es Exchange en línea El servicio, básicamente correo electrónico alojado para empresas, no se ve afectado por estos defectos.

Microsoft acreditó a los investigadores de Reston, Va. Volexidad por informar de los ataques. Volexidad Presidente Steven Adair dijo a KrebsOnSecurity que detectó los ataques por primera vez el 6 de enero de 2021.

Adair dijo que si bien los exploits utilizados por el grupo pueden haber requerido grandes habilidades para desarrollarse, requieren pocos conocimientos técnicos para su uso y pueden brindarle a un atacante un fácil acceso a todo el correo electrónico de una organización si sus servidores Trade vulnerables están directamente expuestos a Net. .

«Estos defectos son muy fáciles de explotar», dijo Adair. “No necesitas ningún conocimiento especial con estos exploits. Simplemente aparece y dice «Me gustaría entrar y leer todo su correo electrónico». Eso es todo «.

Microsoft dice que las fallas están siendo utilizadas por un grupo de espionaje chino previamente desconocido que ha sido apodado «Hafnio, ”Que es conocido por lanzar sus ataques utilizando empresas de hospedaje con sede en los Estados Unidos.

“Hafnium apunta principalmente a entidades en los Estados Unidos en varios sectores industriales, incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación exceptional, contratistas de defensa, grupos de expertos en políticas y ONG”, dijo Microsoft. “HAFNIUM ha comprometido previamente a las víctimas mediante la explotación de vulnerabilidades en servidores conectados a Web. Una vez que han obtenido acceso a una red de víctimas, HAFNIUM normalmente extrae datos a sitios de intercambio de archivos como MEGA «.

Según Microsoft, se ha observado que los atacantes de Hafnium combinan las cuatro fallas de día cero para atacar organizaciones que ejecutan productos vulnerables de Exchange Server.

CVE-2021-26855 es una falla de «falsificación de solicitud del lado del servidor» (SSRF), en la que se puede engañar a un servidor (en este caso, un servidor Exchange nearby) para que ejecute comandos que nunca se le deberían haber permitido ejecutar, como autenticarse como el propio servidor de Exchange.

Los atacantes utilizaron CVE-2021-26857 para ejecutar el código de su elección en la cuenta del «sistema» en un servidor Exchange de destino. Los otros dos defectos de día cero: CVE-2021-26858 y CVE-2021-27065 – podría permitir que un atacante escriba un archivo en cualquier parte del servidor.

Después de explotar estas vulnerabilidades para obtener acceso inicial, los operadores de Hafnium implementaron shells net en el servidor comprometido, dijo Microsoft. Los shells website son esencialmente puertas traseras de software que permiten a los atacantes robar datos y realizar acciones maliciosas adicionales que conducen a un mayor compromiso.

Ni Microsoft ni Volexity conocen el código disponible públicamente que permitiría a otros ciberdelincuentes explotar estas vulnerabilidades de Exchange. Pero dado que estos ataques están en estado salvaje ahora, es posible que solo sea cuestión de días antes de que el código de explotación esté disponible públicamente en línea.

Microsoft enfatizó que los exploits detallados hoy no estaban relacionados de ninguna manera con los ataques separados relacionados con SolarWinds. “Seguimos sin ver evidencia de que el actor detrás de SolarWinds descubrió o explotó alguna vulnerabilidad en los productos y servicios de Microsoft”, dijo la compañía.

Otras lecturas:

Informe de Microsoft sobre los nuevos ataques cibernéticos de los estados-nación de Hafnium

Asesoramiento técnico de Microsoft sobre las cuatro fallas de Exchange Server


Etiquetas: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065, Hafnio, Microsoft Exchange, día cero

Esta entrada se publicó el martes 2 de marzo de 2021 a las 4:19 pm y está archivada en Últimas advertencias, La tormenta que se avecina, Hora de parchear.
Puede seguir cualquier comentario a esta entrada a través de la fuente RSS 2..

Puede saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia primary