Surgen más detalles en Microsoft Trade …



Los ataques parecen más generalizados de lo que se informó inicialmente, dicen los investigadores, y un vistazo a por qué el parche de días cero de Microsoft Trade Server parcheado esta semana es tan peligroso.

Los investigadores de seguridad creen que los ataques que explotan cuatro vulnerabilidades críticas de Microsoft Exchange Server se extienden más allá de los incidentes «limitados y dirigidos» reportados por Microsoft esta semana cuando emitió parches para las fallas de día cero e instó a las empresas a parchear inmediatamente.

Las organizaciones se enteraron por primera vez de los días cero del servidor Trade el martes cuando Microsoft lanzó las correcciones. Atribuye la actividad a un grupo llamado Hafnium «con alta confianza». Se cree que Hafnium opera fuera de China y se dirige principalmente a organizaciones con sede en Estados Unidos, informa Microsoft.

A medida que más investigadores de seguridad rastrean la actividad, surgen nuevos detalles sobre estos exploits activos, cómo se encontraron y los factores que impulsaron el lanzamiento de los parches fuera de banda de ayer.

Estos ataques parecen haber comenzado el 6 de enero de 2021. informe investigadores de Volexity que detectó actividad anómala de los servidores Microsoft Exchange de dos clientes ese mes.

Volexity notó una gran cantidad de datos enviados a direcciones IP que creía que no estaban vinculados a usuarios reales. Una inspección más detallada reveló solicitudes Article entrantes a archivos válidos asociados con imágenes, JavaScript, hojas de estilo en cascada y fuentes utilizadas por Outlook World-wide-web Obtain. Sospecharon que los servidores podrían tener puertas traseras y comenzaron una investigación, que llevó a descubrir el exploit de día cero.

«Hicimos muchos análisis en el sistema inicialmente para asegurarnos de que no fuera una puerta trasera», dice el fundador y presidente de Volexity, Steven Adair. A principios de febrero, el equipo había determinado lo que estaba pasando y recreado el exploit ellos mismos. En el transcurso de los esfuerzos de respuesta a incidentes, los investigadores encontraron que el atacante había encadenado una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) con otra que permite la ejecución remota de código (RCE) en los servidores de Exchange objetivo.

Volexity informó sus hallazgos a Microsoft y comenzó a trabajar con ellos. Pero las cosas se intensificaron a fines de febrero, cuando los investigadores notaron múltiples instancias de RCE. Los atacantes estaban usando un exploit que les permitiría escribir shells world wide web en el disco. En todos los casos de RCE, Volexity vio al atacante escribir shells internet en el disco y realizar operaciones para volcar credenciales, agregar cuentas de usuario, robar copias de bases de datos de Active Directory y moverse lateralmente a otros sistemas.

«Vimos que eso sucedió de manera muy ruidosa en muchos lugares diferentes durante el fin de semana», dice Adair, señalando que esto empujó hacia arriba la línea de tiempo para implementar un parche para la vulnerabilidad. «No vimos mucho RCE hasta hace poco, y se volvieron bastante locos».

Hasta este punto, la mayor parte de lo que vieron los investigadores fue una actividad «baja y lenta». Mucho de esto involucró un sutil robo de correo electrónico lo que parecían ser operaciones de espionaje legítimas, dice Adair. Los atacantes atacaron los correos electrónicos de personas muy específicas, aunque no está claro qué buscaban. No hay nada en la actividad que hubiera activado una herramienta de seguridad de punto ultimate, agrega.

No está claro qué causó que los atacantes se volvieran más agresivos y cambiaran sus tácticas en este momento. Microsoft ha vinculado la actividad a un solo grupo sin embargo, Adair no está convencido de que esto no sea obra de múltiples actores de amenazas. «Es evidente que operan varias personas con diferentes estrategias», dice.

John Hammond, investigador senior de seguridad de Huntress Labs, también ha notado la actividad ruidosa. El equipo de Huntress ha visto a los atacantes usar herramientas de línea de comandos de Windows, agregar y / o eliminar administradores del grupo «Administradores de la organización de Exchange» y capturar credenciales o hashes almacenados en la memoria del proceso.

«Este ataque ha sido una serie de explotación de CVE recientes y uso de técnicas comerciales ruidosas y abiertas, lo cual es sorprendente», dice. «Pero teniendo en cuenta que han difundido esto por todo Online, es evidente que no les importa ser sigilosos».

¿Quién es vulnerable? ¿Quién está bajo ataque?

Si bien Microsoft describe esta actividad como «limitada y dirigida», Hammond informa indicadores de que ahora se está convirtiendo en una campaña de «rociar y rezar» a mayor escala. Los atacantes parecen estar escaneando la World wide web para encontrar puntos finales vulnerables, dice.

Los investigadores de Huntress han comprobado más de 2000 servidores Trade y han encontrado aproximadamente 400 vulnerables otros 100 son «potencialmente vulnerables», dice.

Informan que casi 200 organizaciones se han visto comprometidas y más de 350 shells net. Señala que algunas víctimas pueden tener más de un shell world-wide-web, lo que indica un despliegue automatizado o actores descoordinados.

Las empresas afectadas incluyen pequeños hoteles, fabricantes de electrodomésticos de cocina, empresas de helados, comunidades de personas mayores y otras empresas del mercado intermedio, escriben los investigadores de Huntress Labs. un hilo de Reddit. Sus datos muestran que los atacantes atacaron a los gobiernos de la ciudad y el condado, proveedores de atención médica, bancos e instituciones financieras y proveedores de electricidad residencial.

Mientras tanto, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU. Emitió una directiva de emergencia en la que se pedía a las agencias federales civiles con servidores Microsoft Exchange en las instalaciones que actualicen su software package con parches de Microsoft recientemente lanzados o desconecten los productos hasta que puedan. parchearlos.

Por qué Trade Server es un objetivo candente

Las vulnerabilidades parcheadas esta semana deberían ser una prioridad. Toda organización debe tener correo electrónico y Microsoft Trade se united states of america ampliamente. Estos servidores suelen ser de acceso público en la World-wide-web abierta, dice Hammond, y pueden explotarse de forma remota. Una vez que logran establecerse, los atacantes pueden expandir su acceso para causar más daño en todo el entorno objetivo.

«Son componentes realmente críticos para una organización», dice Adair sobre los servidores Exchange. Un servidor de correo electrónico tiene que estar en World-wide-web, dice, lo que aumenta el riesgo de que un atacante lo encuentre y lo apunte.

Incluso las organizaciones que no tienen nada más expuesto a World-wide-web seguirán teniendo un servidor de correo electrónico en línea, a menos que, por supuesto, utilicen un servicio de correo electrónico basado en la nube. Para muchos, el servidor Trade es esencial. Siempre tiene que estar encendido y podría brindarle a un atacante exitoso acceso a contraseñas de usuario, cuentas de dominio y cuentas de administrador. Un compromiso, incluso si solo permitiera a un atacante leer el correo electrónico, podría ser «devastadoramente malo».

«Cualquier vector es atractivo para un atacante, pero el servidor de Trade es particularmente crítico, y para algunas organizaciones puede ser la única vía», agrega Adair.

¿Cómo saber si te han comprometido? La actividad desconocida en los registros del servidor web que se conectan a los shells world-wide-web implantados por los atacantes debería generar una señal de alerta, dice Hammond. Un cambio en los permisos de los usuarios o los usuarios administrativos también puede generar sospechas y dar lugar a una mirada más cercana.

«El medio más efectivo para rastrear esta actividad es validar externamente la vulnerabilidad, buscar estos indicadores de compromiso y monitorear la actividad de la pink en sus servidores», agrega. Hammond aconseja a las organizaciones que no solo apliquen parches de inmediato, sino que busquen activamente la presencia de estos webshells y otros indicadores de compromiso.

Kelly Sheridan es la editora de particular de Dark Studying, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original