Atacantes se aprovechan de bug recientemente parchado en Microsoft Exchange

A un mes de parchado, aún hay usuarios que no actualizan su versión de Microsoft Exchange, por lo que los atacantes se aprovecharon y están explotando un bug que podría darles la capacidad de acceder a información de la víctima.

A mediados de febrero de este año Microsoft lanzó nuevas actualizaciones de seguridad para múltiples vulnerabilidades encontradas en sus productos. Una de estas incluía una solución para una vulnerabilidad de código remoto que existía en el Panel de Control de Exchange (ECP). Afectaba a los servidores de correo electrónico de Microsoft Exchange 2010, 2013, 2016 y 2019.

Aunque se lanzó un parche para corregir la falla, hay una gran cantidad de servidores de Microsoft Exchange que aún no se han parchado. Sin embargo, los actores de amenazas han comenzado a ver esto como una oportunidad para realizar actividades maliciosas.

Según los investigadores de Volexity, los grupos de hackers maliciosos están escaneando activamente en Internet los servidores de Microsoft Exchange que son vulnerables a una falla de ejecución remota de código rastreada como CVE-2020-0688.

La falla brinda a los atacantes la capacidad de acceder a datos confidenciales relacionados con la compañía víctima.

Un servidor de Microsoft Exchange vulnerable a la falla RCE puede ser explotado si se cumplen los siguientes tres criterios:

  • El servidor Exchange no ha sido parchado desde el 11 de febrero de 2020.
  • Los atacantes pueden acceder a la interfaz del Panel de control de Exchange (ECP).
  • Los atacantes tienen una lista de credenciales de trabajo que les permiten acceder al ECP para recopilar ViewStateKey de la cookie de sesión autenticada, así como el valor __VIEWSTATEGENERATOR de un campo oculto dentro de la fuente de la página.

En ataques recientes, Volexity observó que la vulnerabilidad ECP de Exchange permite a los atacantes:

  • Ejecutar comandos del sistema para realizar el reconocimiento.
  • Implementar la puerta trasera de shell web accesible a través de OWA.
  • Ejecutar marcos de post explotación en memoria.

La explotación de vulnerabilidades en servidores sin parches no es nueva. En 2019, los atacantes habían explotado ampliamente dos vulnerabilidades bien conocidas en el servidor Oracle WebLogic (CVE-2019-2725) y el servidor Atlassian Confluence (CVE-2019-3396) para lanzar ataques.

Las vulnerabilidades se explotaron en gran medida para implementar ransomware. Por lo tanto, es muy necesario parchar las vulnerabilidades con actualizaciones de seguridad lo antes posible.