Microsoft acaba de lanzar parches de seguridad para cuatro vulnerabilidades de día cero encontradas en sus servidores Exchange, que están siendo explotados activamente en forma salvaje. Los actores de amenazas detrás de estos ataques se denominan HAFNIUM, un grupo de piratas informáticos respaldado por el estado chino. Se informa que han tenido los servidores de Exchange por robar datos corporativos. Se recomienda encarecidamente instalar los parches de inmediato.
Explotación de servidores de Microsoft Exchange
Los servidores de Microsoft Exchange basados en la plataforma Windows permiten que los empleados de las empresas se comuniquen entre ellos y con otras personas externas a través de diversos medios. Se informa que estos servidores tienen cuatro vulnerabilidades de día cero, que ahora están siendo explotadas por un grupo de piratas informáticos respaldado por el estado chino llamado HAFNIUM , para robar los datos de correo electrónico de las empresas.
Los piratas informáticos remotos que se dirigen a los servidores de Exchange deben aprovechar las siguientes vulnerabilidades para obtener acceso remoto:
- CVE-2021-26855 es una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Exchange que permitió al atacante enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.
- CVE-2021-26857 es una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada, que permite al atacante ejecutar código como SYSTEM en el servidor Exchange.
- CVE-2021-26858 y CVE-2021-27065 son archivos arbitrarios que escriben vulnerabilidades en Exchange, que permiten a los atacantes autenticarse con el servidor de Exchange.
Todos estos cuatro exploits se pueden encadenar para obtener acceso remoto a los servidores Exchange de la empresa y usarlos para instalar un shell web para cargar archivos adicionales, robar datos a correos electrónicos y crear puertas traseras. Microsoft ha detectado que el grupo HAFNIUM está utilizando servidores privados virtuales con base en Estados Unidos para sus ataques.
además de robar datos, pueden crear un shell remoto de regreso a su C2 para acceso interno, y también volcar la memoria de LSASS.exe para obtener las credenciales almacenadas en caché. Microsoft ha publicado parches de seguridad para estas cuatro vulnerabilidades y recomienda a los usuarios que los instalen de inmediato para evitar ataques.
Los usuarios pueden utilizar Nmap, un script creado por Kevin Beaumont, analista sénior de inteligencia de amenazas de Microsoft, para buscar servidores vulnerables de Microsoft Exchange. La actualización de los servidores con el último parche requiere que admitan el paquete acumulativo de actualizaciones y la actualización acumulativa. Lea más sobre cómo proteger sus servidores Exchange aquí .
0 Comentarios