Mensajes de escalada de ataques de Microsoft Exchange Server …



Los funcionarios del gobierno de EE. UU. Opinan sobre los ataques y la actividad maliciosa, que los investigadores creen que puede ser el trabajo de múltiples grupos.

Las vulnerabilidades críticas de Exchange Server parcheadas la semana pasada por Microsoft se están convirtiendo en armas en ataques generalizados contra organizaciones en todo el mundo. Los ataques se han intensificado en las últimas dos semanas, lo que ha provocado respuestas del gobierno de EE. UU. Y la comunidad de seguridad.

La noticia de las cuatro vulnerabilidades surgió el 2 de marzo, cuando Microsoft emitió parches para CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065. Estas fallas afectan a las versiones 2013, 2016 y 2019 de Microsoft Exchange Server, aunque las notas de la empresa Microsoft Trade Server 2010 se está actualizando con fines de defensa en profundidad. Exchange On the internet no se ve afectado.

Microsoft, que se enteró de estas vulnerabilidades a principios de enero, inicialmente informó que estaban siendo explotadas en «ataques limitados y dirigidos» por Hafnium, un grupo que cree que está patrocinado por el estado y opera fuera de China. Los funcionarios dijeron que este period el único actor que había visto usar como arma estos exploits, que utilizó para atacar principalmente a organizaciones en los EE. UU.

Pero otros expertos en seguridad dicen que es possible que haya varios grupos de amenazas detrás de la ola de actividad maliciosa que persigue a los servidores Exchange.

Esta actividad se aceleró hacia fines de febrero, cuando los investigadores de Volexity que encontraron algunos de los días cero notaron un aumento en las instancias de ejecución remota de código (RCE). En todos los casos, los atacantes escribían shells world wide web en el disco y realizaban operaciones para volcar credenciales, agregar cuentas de usuario, robar copias de bases de datos de Energetic Listing y moverse lateralmente a otros sistemas.

Lo que anteriormente había sido una actividad «baja y lenta» se había convertido rápidamente en mucho ruido.

«Si bien comenzó como una campaña de espionaje dirigido, se involucraron en un comportamiento imprudente y peligroso al escanear / comprometer los servidores de Exchange en todo el espacio de direcciones IPv4 con webshells que ahora pueden ser utilizados por otros actores, incluidos los equipos de ransomware», Dmitri Alperovitch, presidente de Silverado Plan Accelerator y cofundador de CrowdStrike, dijo en un tweet.

La inteligencia de múltiples fuentes indica que la actividad maliciosa se ha generalizado desde el 2 de marzo. Al menos 30.000 organizaciones en los EE. UU. Se han visto afectadas, KrebsOnSecurity informes. Desde principios de marzo, Kaspersky ha detectado ataques relacionados en más de 1200 usuarios, «con este número en continuo crecimiento». La mayoría de estos objetivos se encuentran en Alemania (26,9%), con otros en Italia (9%), Austria (5,72%), Suiza (4,81) y EE. UU. (4,73%). informe de los investigadores. La Autoridad Bancaria Europea se encuentra entre las organizaciones afectado Fuera de los Estados Unidos.

Katie Nickels, directora de inteligencia de Crimson Canary, dice que comenzaron a ver un aumento en la actividad sospechosa de shell world-wide-web dirigida a servidores Exchange el 28 de febrero, días antes de que Microsoft revelara la actividad de Hafnium. Los datos de Red Canary muestran múltiples grupos de actividad de shell website por ejemplo, los proyectiles website que vieron caer desde el 28 de febrero hasta el 3 de marzo actuaron de manera diferente a los proyectiles web que vieron caer el 5 de marzo.

«Cada uno de estos grupos se ve un poco diferente, lo que nos lleva a evaluar que puede haber múltiples adversarios que exploten estas vulnerabilidades», dice Nickels. «Una cosa que no sabemos en este momento es si estos adversarios están cooperando de alguna manera y solo están usando diferentes TTP, o si son adversarios distintos que no se están coordinando».

Es possible que participen varios grupos de ataques

Red Canary no es la única empresa de seguridad que rastrea esta actividad en «clústeres». En una publicación de blog site publicada la semana pasada, Mandiant los investigadores explicaron cómo están rastreando los ataques en tres grupos: UNC 2639, UNC2640 y UNC2643. Si bien Microsoft inicialmente atribuyó esta actividad al hafnio, la rápida aceleración de la actividad pone en duda si otros grupos podrían ser responsables.

«Hafnium definitivamente no es el único actor involucrado en esta actividad», dicen los investigadores de Kaspersky en un correo electrónico a Dim Studying, señalando que había otros atacantes que usaban algunos de estos exploits antes de que se lanzara un parche. Después del 2 de marzo, dicen, el número de atacantes ha aumentado.

Cada día desde que se lanzaron los parches, los investigadores de Kaspersky informan un mayor número de intentos automatizados de al menos una de las fallas (CVE-2021-26855). Su inteligencia muestra que los ataques alcanzaron su punto máximo el 5 de marzo y desde entonces se han estancado sin embargo, señalan que esto no es inusual.

«Esta es una reacción típica que vemos en la naturaleza, especialmente si también se ha producido un exploit funcional», explican. «Es una especie de carrera contra el tiempo entre los atacantes que buscan capitalizar la &#39brecha de parche&#39 y los defensores que intentan mitigar el riesgo». Señalan que lo más probable es que los atacantes utilicen varios medios para configurar el acceso persistente, que pueden utilizar como quieran en el futuro.

La mayoría de los proyectiles net que Red Canary ha observado proporcionan a los atacantes un punto de apoyo inicial. Sin embargo, Nickels señala que menos ataques llevan a cabo una posexplotación significativa más allá de esa posición. Los investigadores han visto que algunos grupos de actividades ejecutan comandos para aprender más sobre el medio ambiente otros han agregado tareas programadas para la persistencia y las han devuelto a los dominios de comando y management. Microsoft informó inicialmente que Hafnium comprimía los datos robados y exportaba los datos del buzón sin embargo, esto no ocurre en todos los servidores comprometidos.

«El desafío de tener múltiples grupos de actividades que exploten estas vulnerabilidades es que cada uno de ellos podría representar diferentes adversarios con diferentes intenciones», dice Nickels. El hecho de que gran parte de esta actividad sea ruidosa y seen para los defensores indica que a algunos adversarios no les importa mucho ocultar su presencia. Ella señala que el equipo es cauteloso para distinguir claramente los grupos en lugar de atribuir toda la actividad a China, lo que, según ella, es una evaluación que no pueden hacer.

En su hilo de Twitter, Alperovitch dice que esta actividad «merece una respuesta significativa de la administración de Biden», especialmente si surgen ataques dañinos de ransomware en las próximas semanas.

La secretaria de prensa de la Casa Blanca, Jen Psaki, mencionó la actividad en una conferencia de prensa el 5 de marzo, y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió una alerta instando a las organizaciones a reparar las vulnerabilidades «inmediatamente» o desconectar sus servidores Microsoft Trade.

«Nos preocupa que haya una gran cantidad de víctimas y estamos trabajando con nuestros socios para comprender el alcance de esto», agregó. Psaki dijo, y luego agregó que «los propietarios de la purple también deben considerar si ya se han visto comprometidos y deben tomar las medidas adecuadas de inmediato».

El asesor de seguridad nacional Jake Sullivan dijo en un Pío que los funcionarios están siguiendo de cerca los parches de Microsoft para estas vulnerabilidades, así como también están atentos a posibles compromisos en los feel tanks y las entidades de base industrial de defensa de EE. UU. Alentó a los propietarios de redes a que se pusieran a parchear lo antes posible, al igual que el ex director de CISA Chris Krebs, quien llama a esto «el verdadero negocio». en un tweet.

«Si su organización ejecuta un servidor (Outlook World wide web Entry) expuesto a Web, asuma el compromiso entre el 26/02 y 03/03», dijo Krebs.

Qué deben hacer las organizaciones en respuesta

El consejo más obvio es aplicar parches para estos defectos críticos, que protegerán a los objetivos de posibles compromisos. Pero como señala Nickels, la instalación de parches no le dirá si ya ha sido un objetivo, y mucho menos remediar un ataque activo.

«Si los equipos de seguridad pueden obtener visibilidad sobre el linaje del proceso y los parámetros de la línea de comandos asociados con el proceso de trabajo de Home windows IIS, entonces pueden buscar o generar detección para esta y otras actividades del shell net de Exchange», dice. Microsoft, Volexity y otras empresas han compartido información que puede ayudar a las empresas a comprobar si existen compromisos.

Si descubren un ataque, se recomienda a los equipos de TI y seguridad que ejecuten un proceso de respuesta a incidentes «completo y exhaustivo», dicen los investigadores de Kaspersky.

La mayoría de las empresas que dependen del servidor Trade son organizaciones tradicionales tardías, pequeñas y medianas empresas y algunas grandes empresas que utilizan Exchange nearby para sistemas de correo electrónico automatizados, dice el vicepresidente de investigación de Gartner, Peter Firstbrook. Aquellos que todavía están en las instalaciones porque carecen de presupuesto y tiempo para migrar son los que corren mayor riesgo, señala.

«La aplicación de parches basada en el riesgo es essential», dice Firstbrook, y agrega que «la exposición total del correo electrónico corporativo es un gran riesgo para la mayoría de las organizaciones, por lo que debería haber sido una prioridad». La clave es saber qué fallas son de alto riesgo y poder priorizarlas, lo que requiere un programa sólido de administración de parches y vulnerabilidades, algo que a menudo falta en las pequeñas empresas con presupuestos de TI reducidos.

Al igual que con otro computer software empresarial más antiguo, la aplicación de parches al servidor Trade puede ser un proceso difícil, especialmente si la empresa está atrasada en las actualizaciones. Por esta razón, Microsoft ha proporcionado mitigaciones para aquellos que no pueden parchear rápidamente. Los funcionarios señalan que estas mitigaciones no brindan una protección completa, ni brindan reparación si un servidor de Trade ya se ha visto comprometido. CISA también ha emitió una alerta para las mitigaciones alternativas.

Microsoft respondió a la solicitud de comentarios indicando que está trabajando con CISA, otras agencias gubernamentales y compañías de seguridad para continuar brindando orientación y pasos de mitigación.

«La mejor protección es aplicar actualizaciones lo antes posible en todos los sistemas afectados», dice un portavoz, y señala que las empresas afectadas deben comunicarse con los equipos de soporte de Microsoft para obtener ayuda y recursos adicionales.

Kelly Sheridan es la editora de individual de Dim Reading, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial