Threat Database Malware Vulnerabilidades de día cero de Microsoft Exchange Server

Vulnerabilidades de día cero de Microsoft Exchange Server

vulnerabilidades de microsoft exchange Un ataque severo que explota cuatro vulnerabilidades de día cero en versiones locales de Exchange Server de Microsoft fue llevado a cabo por lo que se cree que es un actor de amenazas patrocinado por el estado. Microsoft ya había comenzado a monitorear las actividades de este colectivo de hackers bajo la designación HAFNIUM. Según sus hallazgos, el grupo está ubicado en China y cuenta con el respaldo del gobierno chino.

A través de las vulnerabilidades, los piratas informáticos podían obtener acceso ilegalmente al servidor Exchange y crear un shell web que les proporcionara control remoto sobre el sistema. El objetivo principal del ataque era acceder a datos confidenciales contenidos en las cuentas de correo electrónico de la víctima y en la libreta de direcciones de Exchange sin conexión. Sin embargo, el shell web también permitió eliminar cargas útiles de malware adicionales. En el ataque HAFNIUM, esa funcionalidad se utilizó para garantizar un acceso prolongado a los sistemas de la víctima.

Después de que la información del ataque se hizo pública, Microsoft detectó varios actores de amenazas adicionales que incorporaban las vulnerabilidades de día cero en sus operaciones. En solo 9 días, se observó que se entregaba una nueva amenaza de ransomware a través de las cuatro debilidades de seguridad. La amenaza se llamó DearCry, un obvio homenaje al infame malware WannaCry que infectó a usuarios de todo el mundo en un ataque que explotaba un conjunto diferente de vulnerabilidades de Microsoft.

Cuatro exploits de día cero habilitaron el ataque

Los días cero explotados por HAFNIUM y los otros actores de amenazas se rastrean como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065.

El primero, CVE-2021-26855, es una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que permite a los atacantes enviar solicitudes HTTP arbitrarias y autenticarse como el servidor Exchange.

CVE-2021-26857 es una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada. En resumen, este exploit permitió a los atacantes ejecutar código como SYSTEM en el servidor de Exchange.

Las dos últimas vulnerabilidades, CVE-2021-26858 y CVE-2021-27065, consisten en una vulnerabilidad de escritura de archivo arbitraria posterior a la autenticación.

Microsoft lanzó parches de seguridad y herramienta para mitigar el ataque

A raíz de la violación y debido a su gravedad, Microsoft lanzó varias actualizaciones de seguridad para parchear las vulnerabilidades en versiones anteriores de su servidor Exchange. El gigante tecnológico también lanzó un blog de seguridad que contiene IoC (Indicadores de compromiso) observado, orientación de detección y consultas de búsqueda avanzadas para que los clientes tengan una mejor idea de dónde buscar signos de actividad potencialmente maliciosa.

Para ayudar a los clientes más pequeños que no tienen departamentos de TI o de ciberseguridad dedicados, Microsoft también ha lanzado una herramienta de mitigación con un solo clic. La herramienta de mitigación local de Microsoft Exchange está destinada a utilizarse como medida de seguridad provisional en las implementaciones de Exchange Server 2013, 2016 y 2019 mientras el cliente se prepara para instalar la actualización de seguridad adecuada.

Tendencias

Mas Visto

Cargando...