Microsoft emite una advertencia de actualización crítica mientras los servidores Exchange son atacados

Microsoft ha confirmado que ciberatacantes, atribuidos a operativos chinos patrocinados por el estado, están atacando actualmente las instalaciones de Microsoft Exchange Server utilizando múltiples exploits de día cero.

En una publicación conjunta, Microsoft Threat Intelligence Center, Microsoft 365 Defender Threat Intelligence Team y Microsoft 365 Security advirtieron que los ataques permitieron el acceso a cuentas de correo electrónico, así como la instalación de malware adicional. 

Al atribuir la campaña de ataque a un grupo conocido como HAFNIUM , Microsoft advirtió a los usuarios sobre la naturaleza crítica de las cuatro vulnerabilidades, instando a los clientes a actualizar todos los servidores Exchange locales de inmediato. Microsoft también confirmó que Exchange Online no parece verse afectado.

Según los investigadores de Volexity, los ataques parecen haber comenzado el 6 de enero. «El atacante estaba usando la vulnerabilidad para robar el contenido completo de varios buzones de correo de usuarios», afirma una publicación del blog de Volexity . Los mismos investigadores encontraron que la vulnerabilidad se puede explotar de forma remota sin necesidad de autenticación. De hecho, determinaron que todo lo que un atacante necesita saber es «el servidor que ejecuta Exchange y la cuenta de la que desea extraer el correo electrónico».

Las cuatro vulnerabilidades críticas son una falsificación de solicitud del lado del servidor (CVE-2021-26855) utilizada para autenticarse como el servidor Exchange, un servicio de mensajería unificada (CVE-2021-26857) que permite la ejecución de código como SYSTEM y dos post-autenticación arbitrarios vulnerabilidades de escritura de archivos (CVE-2021-26858 y CVE-2021-27065) que juntas crean una tormenta de explotación perfecta.

Tom Burt, vicepresidente corporativo de servicio al cliente y confianza de Microsoft, explicó cómo HAFNIUM está explotando estas vulnerabilidades de día cero .

Esto ocurre en tres etapas, siendo la primera la de acceder al Exchange Server al parecer alguien que tiene acceso autorizado gracias a CVE-2021-26855. A continuación, se crea un shell web para obtener el control remoto del servidor. Y finalmente, ese acceso remoto se utiliza para robar datos de la red.

Una declaración del Centro de Respuesta de Seguridad de Microsoft dice que la cadena de ataque inicialmente requiere una conexión no confiable al puerto 443 del servidor Exchange, y la mitigación incluye «restringir las conexiones no confiables o configurar una VPN para separar el servidor Exchange del acceso externo».

Sin embargo, la aplicación de los parches publicados sigue siendo la prioridad aquí. Burt reiteró la necesidad de aplicar las actualizaciones de emergencia de inmediato. «Aunque hemos trabajado rápidamente para implementar una actualización para los exploits de Hafnium», dijo Burt, «sabemos que muchos actores del estado-nación y grupos criminales se moverán rápidamente para aprovechar cualquier sistema sin parches».