Hafnium: Espiar su Servidor Exchange

Microsoft ha parcheado cuatro fallas de seguridad muy críticas en su aplicación de servidor de correo Exchange. Esos defectos permitieron a un atacante acceder a información confidencial. No se necesitan contraseñas para aprovechar las vulnerabilidades. Las organizaciones afectadas deben aplicar los parches de inmediato.

Un grupo de atacantes llamado HAFNIUM ha aprovechado un total de cuatro vulnerabilidades sin parchear en Microsoft Exchange para acceder a las comunicaciones internas de las empresas. Esto fue posible gracias a que un atacante se hizo pasar por un servidor de Exchange ante un cliente que accede. En el curso posterior, los atacantes pudieron almacenar archivos en el servidor de correo. Esto permitió al grupo aprovechar la colocación de una puerta trasera que los pondría en posición de acceder a toda la base de datos del servidor de correo en cualquier momento. Entre otros, un ataque exitoso daría a los perpetradores la capacidad de extraer directorios de direcciones completos e incluso buzones de correo completos. Todas las vulnerabilidades de seguridad se enumeran en el NVD:

  • CVE-2021-26855
  • CVE-2021-26857
  • CVE-2021-26858
  • CVE-2021-27065

¿A quiénes afecta?

Todas las instalaciones locales de Microsoft Exchange 2013, 2016 y 2019 se ven afectadas por las vulnerabilidades. Las actualizaciones para estas versiones están disponibles y deben instalarse de inmediato. También hay actualizaciones disponibles para Exchange 2010 SP3 para evitar la explotación de las vulnerabilidades en estos sistemas. No se requiere ninguna acción para las versiones en la nube de Microsoft Exchange.

¿Cuáles son los riesgos?

Si un atacante como HAFNIUM (o un imitador) explota las vulnerabilidades,es posible acceder a todas las comunicaciones internas por correo electrónico de una empresa. Dado que una de las vulnerabilidades también permite que los archivos se almacenen y ejecuten, un ataque exitoso también podría resultar en un punto de apoyo permanente del atacante dentro de la red. El acceso a través de un shell web sería posible en cualquier momento. Ya no se garantizaría la confidencialidad e integridad de los correos.Además, un atacante puede crear y exportar imágenes de memoria de procesos en ejecución. También se puede obtener información útil de esto. También se recargan otras herramientas de Internet para extraer información, a veces de Github. En preparación para la ex filtración de datos, los archivos de almacenamiento a menudo se colocan en% ProgramData%, que luego se transmiten a los atacantes a través de una plataforma de intercambio de archivos.

Una lista completa de indicadores de compromiso está disponible en el sitio web de Microsoft (el enlace se abrirá en una nueva ventana del navegador). Según el CERT-BUND  alemán , hay hasta 58.000 sistemas todavía potencialmente vulnerables solo en Alemania, aproximadamente una semana después de que el público en general se dio cuenta de las fallas. Es muy probable que esta cifra sea significativamente mayor a escala internacional.

Sistemas de Microsoft Exchange en Alemania que todavía son potencialmente vulnerables. Datos al 8 de marzo de 2021 (Imagen: CERT BUND, Twitter)

¿Está afectada mi organización?

Microsoft ha publicado un script que comprueba específicamente si las vulnerabilidades son o fueron explotadas. Está disponible en Github, incluida la documentación asociada. Los administradores pueden usarlo para determinar si ha habido actividad que pueda indicar la presencia de actividad asociada con el grupo HAFNIUM (u otros imitadores). Sin embargo, lo más importante es instalar las actualizaciones para las vulnerabilidades de inmediato.

¿Quién o qué es HAFNIUM?

Según hallazgos anteriores, HAFNIUM es un grupo llamado APT que muy probablemente opera fuera de Asia. En la mayoría de los casos, los grupos APT cuentan con el apoyo del gobierno y, por lo tanto, están bien posicionados financieramente y en términos de personal. A diferencia de un entorno criminal puramente lucrativo, los grupos APT no tienen la obligación de producir resultados rápidos. Las operaciones llevadas a cabo por los grupos APT generalmente se planifican con mucha anticipación y, a veces, están diseñadas para durar años. Los objetivos van desde simplemente recopilar información hasta manipular datos y procesos en detrimento del objetivo. Tradicionalmente, los organismos y autoridades gubernamentales son el objetivo principal, pero lo mismo ocurre con las empresas que suministran a los organismos gubernamentales o les brindan servicios. Las organizaciones fuera del gobierno también pueden convertirse en el objetivo de un grupo APT, especialmente si estos órganos tienen un interés directo o indirecto en las decisiones políticas. HAFNIUM también sigue este patrón.

Nota para los usuarios de las soluciones G DATA

Uno de los indicadores para aprovechar las vulnerabilidades es la presencia de ciertos archivos de almacenamiento en% ProgramData%.
Sin embargo, ManagementServer and Client de G DATA también almacena algunos archivos de almacenamiento en este directorio. Las siguientes carpetas suelen formar parte de una instalación de G DATA existente, que también puede contener otras subcarpetas. Estos son archivos de actualización creados por G DATA Management Server, que pertenecen al complemento Exchange de G DATA, o creados por G DATA Security Client. Los registros de instalación también se pueden encontrar en estos directorios.

La cuestión es que hay indicios muy claros de que las fallas de seguridad descritas anteriormente están siendo explotadas activamente, tanto por los actores de HAFNIUM como por otras partes que copian los procedimientos operativos de HAFNIUM. Por lo tanto, los responsables de los servidores de Exchange de una organización no pueden llegar lo suficientemente lejos:instale los parches emitidos por Microsoft lo antes posible si aún no lo ha hecho.

Actualización: defectos conocidos por Microsoft desde principios de enero; más parches lanzados 10 de marzo de 2021

Según varios informes, Microsoft conoce las vulnerabilidades de seguridad en Exchange desde principios de enero. Los primeros informes ya se habían enviado al fabricante el 5 de enero. A fines de enero, se estaban acumulando señales de que algo grande estaba sucediendo. Las vulnerabilidades de seguridad originalmente estaban programadas para ser reparadas el martes de parches de ayer. Sin embargo, dado que una gran cantidad de servidores Exchange se vieron comprometidos repentinamente con la ayuda de estas vulnerabilidades antes de esta fecha y varios atacantes en todo el mundo estaban rastreando Internet específicamente en busca de máquinas vulnerables, la actualización se lanzó temprano. Esto significa que ya es posible desde hace semanas comprometer un servidor Exchange sin que nadie se dé cuenta.Esto tiene graves consecuencias. No es suficiente simplemente instalar los parches: cualquier persona que opere un servidor Exchange que sea vulnerable a un ataque debe buscar activamente signos de compromiso y eliminarlos específicamenteLas vulnerabilidades de seguridad en Exchange son tan serias que Microsoft aún no ha publicado una actualización para solucionarlas, incluso para la versión 2010 descontinuada hace mucho tiempo.

Además, existe un riesgo real de que los delincuentes instalen ransomware en servidores Exchange comprometidos e intenten chantajear a las empresas, autoridades y organizaciones gubernamentales afectadas. Esto trae recuerdos de un parche que Microsoft lanzó unos meses antes del brote de Wannacry. Una vez más, debido a la gravedad de la vulnerabilidad, los sistemas operativos heredados se volvieron a proteger con un parche. Sin embargo, debido a que el parche no se instaló en todas partes, Wannacry pudo causar miles de millones de dólares en daños en todo el mundo. Las vulnerabilidades que ahora se han parcheado tienen el potencial de causar daños similares. Esto hace que sea aún más importante que los parches se instalen de inmediato y que los sistemas afectados se revisen y limpien específicamente. Aquellos que no instalen los parches de seguridad ahora corren el riesgo de cortes y daños de los que es posible que la empresa no pueda recuperarse.

Además de las cuatro vulnerabilidades ya conocidas, Microsoft ahora también ha agregado parches para tres vulnerabilidades más . Dos de ellos ( CVE-2021-26412 y CVE-2021-27078 ) permiten la ejecución remota de código y también se clasifican como altamente críticos.

Enlace: https://www.gdatasoftware.com/blog/hafnium-spying-on-your-exchange-server Blog de G DATA