Microsoft se apresura a corregir cuatro fallas de día cero en Exchange Server


Varios grupos de ciberespionaje están explotando al menos una vulnerabilidad para atacar objetivos principalmente en los EE. UU., Según la telemetría de ESET.

Microsoft se apresuró a realizar actualizaciones de emergencia para abordar cuatro fallas de día cero que afectan a las versiones 2013, 2016 y 2019 de Microsoft Exchange Server.Se ha observado que los actores de amenazas explotan las vulnerabilidades en la naturaleza para acceder a los servidores de Trade locales, lo que les permitió robar correos electrónicos , descargar datos y comprometer las máquinas con malware para obtener acceso a largo plazo a las redes de las víctimas. Debido a la gravedad de la amenaza, el titán tecnológico de Redmond está instando a los usuarios para parchear sus sistemas inmediatamente.

Indexado como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, los atacantes están aprovechando las lagunas de seguridad como parte de una cadena de ataque. La decisión de Microsoft de emitir un out-of-limites en lugar de lanzar las correcciones como parte de su paquete mensual Patch Tuesday subraya la gravedad de la amenaza. Microsoft atribuyó el ataque a un grupo de amenazas persistentes avanzadas (APT) relativamente poco conocido con el nombre en código Hafnium.

Según la telemetría de ESET, al menos una de las vulnerabilidades está siendo atacada por múltiples grupos de ciberespionaje, a saber LuckyMouse (también conocido como Emissary Panda o APT27), así como Tick y Calypso. El defecto, indexado como CVE-2021-26855, es una vulnerabilidad de falsificación de solicitudes del lado del servidor que permite a un atacante realizar solicitudes HTTP arbitrarias y las autentica como el servidor de Exchange.

Si bien se ha observado que la mayoría de los ataques son contra servidores ubicados en los Estados Unidos, los grupos de APT se han dirigido a servidores de gobiernos, bufetes de abogados y empresas privadas en otras partes del mundo, en unique en Alemania.

Hafnio

«Hasta la fecha, Hafnium es el actor principal que hemos visto utilizar estos exploits, que se discuten en detalle por MSTIC aquí. Los ataques incluyeron tres pasos. Primero, obtendría acceso a un servidor Exchange ya sea con contraseñas robadas o utilizando las vulnerabilidades no descubiertas previamente para disfrazarse como alguien que debería tener acceso. En segundo lugar, crearía lo que se llama un shell world-wide-web para controlar el servidor comprometido de forma remota. En tercer lugar, utilizaría ese acceso remoto, que se ejecuta desde los servidores privados con sede en EE. UU., Para robar datos de la pink de una organización «, se lee Descripción de Microsoft de los ataques.

La empresa también ha publicado una «actualización de defensa en profundidad» para Microsoft Exchange Server 2010, que alcanzó el final del soporte en octubre de 2020. “Recomendamos dar prioridad a la instalación de actualizaciones en servidores Exchange externos. Todos los servidores Exchange afectados deberían actualizarse en última instancia ”, dijo Microsoft.

Equipos de respuesta a emergencias informáticas (CERT) de todo el mundo, incluido el Estados Unidos, Europa, Hong Kong, y Singapur, también emitió alertas instando a los usuarios y administradores a instalar las actualizaciones de inmediato y considerar escanear sus archivos de registro de Trade en busca de signos de intrusiones o compromiso.

Los investigadores de ESET también aconsejan a las empresas que limiten la exposición a World wide web de aplicaciones críticas, por ejemplo, usando una red privada digital (VPN).





Enlace a la noticia first