Atacantes de día cero de Microsoft Exchange espían objetivos estadounidenses - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Atacantes de día cero de Microsoft Exchange espían objetivos estadounidenses

Hola y mil gracias por leerme. Yo soy Eduardo Arroyo y en el día de hoy vamos a hablar sobre Atacantes de día cero de Microsoft Exchange espían objetivos estadounidenses

Atacantes de día cero de Microsoft Exchange espían objetivos estadounidenses

Los volcados completos de buzones de correo, los movimientos laterales y las puertas traseras caracterizan los ataques sofisticados contra objetivos de la sociedad civil por parte de una APT china.

Microsoft ha identificado múltiples exploits de día cero en circulación que se utilizan para atacar versiones locales de Microsoft Exchange Server. Según el gigante cibernético, los adversarios pudieron iniciar sesión en cuentas de correo electrónico, robar una variedad de datos y lanzar malware en las computadoras de destino para un acceso remoto a largo plazo.

Los ataques son «limitados y dirigidos», pero han llevado a Microsoft a publicar parches fuera de banda esta semana. Los errores explotados se rastrean como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065.

Se cree que el culpable es un grupo de amenazas persistentes avanzadas (APT) conocidas como hafnio (también el nombre de un elemento químico), que tiene un historial de ataques a activos en los Estados Unidos con campañas de ciberespionaje. Los objetivos anteriores han incluido contratistas de defensa, investigadores de enfermedades infecciosas, bufetes de abogados, organizaciones no gubernamentales (ONG), centros de estudios políticos y universidades.

«El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) coloca esta campaña con gran confianza en Hafnium, un grupo calificado como patrocinado por el estado y que opera fuera de China, según la victimología, las tácticas y los procedimientos observados», según un anuncio esta semana de Microsoft sobre los ataques.

«El hecho de que Microsoft eligiera corregir estos defectos fuera de banda en lugar de incluirlos como parte del lanzamiento del martes de parches de la próxima semana nos lleva a creer que los defectos son bastante graves, aunque no conocemos el alcance total de estos ataques. «, Dijo Satnam Narang, un ingeniero de búsqueda de personal en Tenable, por correo electrónico.

Microsoft corrigió los siguientes errores esta semana y los administradores deberían actualizar en consecuencia:

  • es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) que permite eludir la autenticación: un atacante remoto puede simplemente enviar solicitudes HTTP arbitrarias al servidor de Exchange y poder autenticarse en él. Desde allí, un atacante puede robar todo el contenido de los buzones de correo de varios usuarios.
  • es una vulnerabilidad de deserialización insegura en el Servicio de mensajería unificada, en la que un programa deserializa los datos no confiables y controlables por el usuario. Un exploit permite a atacantes remotos con permisos de administrador ejecutar código como SYSTEM en el servidor Exchange.
  • y ambos son vulnerabilidades a la escritura arbitraria de archivos posteriores a la autenticación en Exchange. Una vez autenticado con un servidor Exchange (usando CVE-2021-26855 o con credenciales de administrador comprometidas), un atacante podría escribir un archivo en cualquier ubicación del servidor, logrando así la ejecución remota de código (RCE).

Los investigadores de Volexity descubrieron originalmente el error SSRF como parte de una respuesta a un incidente y señalaron: «Esta vulnerabilidad se puede explotar de forma remota y no requiere autenticación de ningún tipo, ningún conocimiento especial o acceso a un entorno de destino. L El atacante solo necesita saber el servidor en ejecución Exchange y la cuenta de la que quiere extraer el correo «.

También observaron el error SSRF encadenado con CVE-2021-27065 para realizar RCE en múltiples ataques.

Microsoft también dio crédito a los investigadores de seguridad de Dubex por descubrir la actividad reciente, que se observó por primera vez en enero.

«Según lo que sabemos hasta ahora, la explotación de una de las cuatro vulnerabilidades no requiere autenticación y puede usarse para descargar mensajes del buzón de correo de un usuario objetivo», dijo Narang de Tenable. «Un actor de amenaza determinado puede encadenar otras vulnerabilidades para facilitar un mayor compromiso de la red de la organización objetivo».

En las campañas observadas, los cuatro errores de día cero se utilizaron para obtener acceso inicial a los servidores de Exchange específicos y obtener RCE. Según los investigadores, los operadores de hafnio luego desplegaron shells web en los servidores comprometidos, que se utilizaron para robar datos y expandir el ataque.

«En todos los casos de RCE, Volexity observó que el atacante escribía webshells (archivos ASPX) en el disco y realizaba operaciones adicionales para descargar credenciales, agregar cuentas de usuario, robar copias de la base de datos de Active Directory (NTDS.DIT) y moverse lateralmente en otros sistemas y entornos «, según Resumen de Volexidad.

Tras el despliegue del shell web, Microsoft descubrió que los operadores de Hafnium realizaban una serie de actividades posteriores a la explotación:

  • Usando Procdump para volcar la memoria del proceso LSASS;
  • Usar 7-Zip para comprimir datos robados en archivos ZIP para su exfiltración;
  • Agregar y usar el complemento Exchange PowerShell para exportar datos del buzón;
  • Usando el shell inverso Nishang Invoke-PowerShellTcpOneLine;
  • Y descargando PowerCat de GitHub, luego usándolo para abrir una conexión a un servidor remoto.

Los atacantes también pudieron descargar la libreta de direcciones sin conexión de Exchange de los sistemas comprometidos, que contiene información sobre una organización y sus usuarios, según el análisis.

El hafnio fue rastreado por Microsoft antes, pero la compañía lo hizo. acabo de publicar algunos detalles en la APT.

En términos de táctica, «Hafnium comprometía previamente a las víctimas explotando vulnerabilidades en servidores con acceso a Internet y utilizaba marcos legítimos de código abierto, como Covenant, para comando y control», según Microsoft. «Una vez que obtiene acceso a una red de víctimas, HAFNIUM normalmente exfiltra datos en sitios de intercambio de archivos como MEGA».

Hafnium opera principalmente desde servidores privados virtuales de alquiler en Estados Unidos y persigue principalmente objetivos estadounidenses, pero está vinculado al gobierno chino, según Microsoft. Él caracteriza a la APT como «un actor altamente calificado y sofisticado».

Cabe señalar que otros investigadores dicen que han visto estas vulnerabilidades explotadas por diferentes actores de amenazas dirigidas a otras regiones, según Narang.

«Esperamos que otros actores de amenazas comiencen a explotar estas vulnerabilidades en los próximos días y semanas, por lo que es de vital importancia que las organizaciones que usan Exchange Server apliquen estos parches de inmediato», agregó.

«FireEye ha observado que estas vulnerabilidades se explotan en la naturaleza y estamos trabajando activamente con varias organizaciones interesadas», dijo Charles Carmakal, vicepresidente senior y director de tecnología de FireEye Mandiant, en un correo electrónico. «Además de aplicar los parches lo antes posible, recomendamos que las organizaciones también examinen sus sistemas en busca de cualquier evidencia de explotación que pueda haber ocurrido antes de la implementación del parche».

.

No te olvides compartir en una historia de tu Instagram para que tus amigos lo sepan

??? ? ? ???

Comparte