Los ciberincidentes causados por vulnerabilidades han sido y continúan siendo una de las constantes a lo largo de la historia de la ciberseguridad. Entre los ciberataques facilitados por una vulnerabilidad, podemos destacar WannaCry, la brecha de datos de Equifax y Stuxnet, entre otros muchos.
Aunque tendemos a pensar que las vulnerabilidades de día cero son más peligrosas porque las víctimas no saben que pueden estar en peligro, en realidad ocurre todo lo contrario: más del 90% del de los ataques realizados con éxito a día de hoy podían haber sido evitados aplicando un parche.
Ola de ataques contra Servidores Exchange
La semana pasada, Microsoft advirtió de que los servidores Exchange están sufriendo un aumento significativo de intentos de compromiso. Aunque muchos de estos intentos emplean técnicas de phishing y de ingeniería social para atacar los servidores, los atacantes también explotan una vulnerabilidad de ejecución remota de código que afecta al componente Internet Information Services (IIS) del servidor Exchange de la víctima.
Más específicamente, explotan la vulnerabilidad CVE-2020-0688, para la que se lanzó un parche en febrero. Esta vulnerabilidad significa que todos los servidores Exchange de la última década utilizan claves criptográficas idénticas para el panel de control del backend. El resultado de esta vulnerabilidad es que los atacantes pueden instalar malware y hacerse con el control del servidor, ganando acceso a todos los correos electrónicos de la víctima.
Por qué siempre hay que aplicar los parches
Cuando Microsoft anunció esta vulnerabilidad en febrero, muchas organizaciones no hicieron caso al aviso y no parchearon sus servidores Exchange, a pesar de la predicción de que habría un aumento fuerte de ataques en un futuro cercano. En abril, investigadores de seguridad advirtieron de que había más de 350 mil servidores Exchange vulnerables conectados a Internet.
En muchos casos, una vez que los atacantes tienen acceso al servidor Exchange a través de la vulnerabilidad, su siguiente paso es desplegar un web Shell en una de las muchas rutas del servidor que se pueden acceder desde Internet.
Los web Shell son herramientas utilizadas por los hackers en los servidores comprometidos para mantener el acceso, así como para ejecutar remotamente comandos y código arbitrarios, para entregar el malware y realizar movimientos laterales en la red.
Técnicas para ganar persistencia
Una vez desplegado el web Shell, los atacantes exploran el dominio y, si encuentran un servidor mal configurado, añaden nuevas cuentas para grupos con muchos privilegios, como administradores, usuarios de escritorio remoto o administradores de empresa.
Esto les da a los atacantes acceso sin restricciones a cualquier usuario o grupo en la organización. Después, los atacantes buscan las credenciales de las cuentas con herramientas de Windows para así descargar la memoria del Local Security Authority Subsystem Service (LSASS).
Para ganar persistencia en memoria sin tener que entrar en el disco, los atacantes emplean software de código abierto, como Mimikatz. En sistemas configurados para detectar esta herramienta, los atacantes emplean una versión modificada, que pone Mimikatz en un “envoltorio” escrito en el lenguaje de programación Go.
Los atacantes también intentan desactivar las protecciones antivirus y las funciones de escaneo de archivos. Esto se hace para proteger a los archivos .zip y las herramientas de compresión como rar.exe, que se utiliza para robar los archivos .pst y los dumps de memoria.
Protege tus servidores Exchange
Un ataque al servidor Exchange de una organización puede darle a un ciberatacante acceso a todo tipo de información empresarial valiosa. Por este motivo, es clave para las empresas proteger estos servidores.
Lo fundamental en este caso es aplicar el parche relevante cuanto antes. De este modo, los atacantes no podrán entrar en tus sistemas y comprometer la seguridad de tu empresa. Sin embargo, para muchas organizaciones, la gestión de las vulnerabilidades es un reto muy importante: desconocen qué parches deben priorizar y desconocen qué vulnerabilidades son las más críticas.
Es por eso, que desde Panda Security hemos creado un portal específico, donde puedes visualizar las vulnerabilidades más importantes. “Top Vulnerabilities 2020” es un listado de las vulnerabilidades descubiertas en 2020 más destacadas y críticas, que afectan al sistema operativo Windows, con detalles acerca de la criticidad de la vulnerabilidad, el fabricante y su número CVE.
Como podemos ver, las vulnerabilidades son una amenaza constante para la ciberseguridad de todo tipo de empresa. No dejes que una vulnerabilidad sin parchear comprometa la seguridad de tu organización.