Mientras la comunidad de ciberseguridad continúa tambaleándose por los efectos del ataque de SolarWinds, el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) ha publicado información sobre otra campaña generalizada dirigida a los servidores Exchange. Se ha descubierto que un actor de amenazas patrocinado por el estado que opera desde China, al que llaman HAFNIUM, ha estado explotando vulnerabilidades de día 0 en el software de los servidores Exchange locales. Hay cuatro vulnerabilidades conocidas identificadas por el MSTIC desde que se produjo el incidente que se dirigen únicamente a los servidores Exchange locales. Los servidores Exchange en la nube no están afectados por estas vulnerabilidades.

El ataque se realiza explotando primero una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) que permite robar todo el contenido del buzón de un usuario. El atacante sólo necesita conocer el servidor que ejecuta el software de Exchange y la cuenta que quiere robar (CVE-2021-26855). A continuación, el atacante encadena este exploit con otro secundario que permite la ejecución remota de código en el servidor Exchange objetivo (CVE-2021-27065). Otra vulnerabilidad también forma parte de este exploit encadenado que permite a los atacantes escribir un archivo en cualquier ruta del servidor (CVE-2021-26858). La cuarta vulnerabilidad permite a los atacantes ejecutar código como SYSTEM después de explotar una vulnerabilidad de deserialización insegura en el servicio de Mensajería Unificada (CVE-2021-26857).

Además de los cuatro principales indicadores de compromiso (IoC), Microsoft ha publicado scripts de PowerShell y varias herramientas en su GitHub para ayudar a identificar estos IoC en sus servidores Exchange. Volexity, que ha detectado estos ataques en la naturaleza, también ha publicado un artículo en profundidad sobre varios IoC, pruebas de concepto y demostraciones para ayudar en este esfuerzo de detección. Microsoft también ha publicado un artículo similar.

Microsoft ha publicado un parche para las cuatro vulnerabilidades, así como para algunas otras, e insta a todos los que tengan servidores Exchange locales a que parcheen sus sistemas inmediatamente. La información sobre las actualizaciones de seguridad puede encontrarse aquí. Aunque se atribuye a HAFNIUM ser la primera entidad conocida en explotar estas vulnerabilidades, Microsoft sigue observando un aumento de los ataques a sistemas no parcheados por parte de otros actores.

Consulta estas y otras Vulnerabilidades Críticas aquí

Medidas de respuesta a la amenaza

1- Identificar y aplicar parches a los sistemas Exchange Server vulnerables con las actualizaciones de seguridad emitidas por Microsoft.

2- Utilizar las mitigaciones alternativas proporcionadas por Microsoft cuando no pueda desplegar inmediatamente los parches.

3- Usar el script PowerShell de Microsoft para buscar indicadores de compromiso en su servidor Exchange.

4- Habilitar los servicios y soluciones de ciberseguridad de WatchGuard para obtener protecciones adicionales.

Cómo protegerme de HAFNIUM

Panda Adaptive Defense 360

Panda AD 360 cuenta con detecciones para los payloads de PowerShell y muchos de los webshells implicados en este ataque. AD360 proporciona protección AntiSpam y AntiVirus para los servidores Exchange y monitorización de accesos web y filtrado de URLs. Además, automatiza la prevención, detección, contención y respuesta a cualquier amenaza avanzada, malware de día cero, ransomware, phishing, exploits en memoria y ataques sin malware, tanto presentes como futuros, dentro y fuera de la red corporativa.

Pero no podemos olvidar la otra cara de la moneda. La explotación de vulnerabilidades sigue siendo actualmente la causa número uno de la mayoría de las brechas de seguridad. Casos notorios como WannaCry, Petya y BlueKeep, que causaron estragos en todo el mundo, todavía están frescos en la mente de todos. Solo un pequeño número de ataques se producen como resultado de verdaderas vulnerabilidades desconocidas (ataques de día cero), ya que la mayoría son causados por vulnerabilidades conocidas.

Para ayudar a priorizar, gestionar y desplegar los parches y actualizaciones, nuestros clientes cuentan con Panda Patch Management. Este módulo, que no requiere de despliegues adicionales, no solo proporciona parches y actualizaciones para sistemas operativos, sino también para cientos de aplicaciones de terceros.

  • Descubre, planifica, instala y monitoriza: Proporciona visibilidad de la salud de los endpoints en tiempo real en cuanto a vulnerabilidades, parches o actualizaciones pendientes y software no soportado (EoL).
  • Audita, monitoriza y prioriza las actualizaciones de los sistemas operativos y aplicaciones. Permite una visibilidad en tiempo real del estado de los parches y actualizaciones pendientes del sistema y en aplicaciones de terceros.
  • Previene incidentes, reduciendo sistemáticamente la superficie de ataque por vulnerabilidades. La gestión de parches y actualizaciones permite adelantarse a la explotación de vulnerabilidades.
  • Contiene y mitiga ataques, parcheando inmediatamente uno o varios endpoints: la consola correlaciona detecciones con vulnerabilidades, minimizando así el tiempo de respuesta, contención y remediación.

IPS

El Servicio de Prevención de Intrusiones (IPS) de Firebox tiene firmas que detectan y bloquean la primera etapa de la cadena de exploits del ataque.

Gateaway Antivirus

Gateway AntiVirus tiene varias firmas para detectar y bloquear las webshells utilizadas en el ataque.

Bloqueador APT

APT Blocker’s detecta con éxito las backdoors PowerShell maliciosas utilizadas en este ataque.

Portal de acceso Firebox y VPN

La primera etapa del ataque de esta amenaza requiere un servidor de Exchange expuesto a Internet. Puedes mitigar esta etapa del ataque protegiendo el servidor Exchange accediendo al Portal de Acceso de Firebox en los dispositivos compatibles.