Resumen de la alerta por vulnerabilidades críticas en Microsoft Exchange

Detalles de la alerta

Este resumen de ciberataques, vulnerabilidades e incidentes de seguridad cibernética tiene como propósito destacar algunos eventos de días pasados para que puedan ser interpretados y discutidos por las diferentes entidades que tengan acceso a su lectura. Este informe reúne los antecedentes conocidos hasta el día de su publicación.

(Este mismo documento en formato PDF, para su lectura y difusión, puede ser descargado aquí: 10CND21-00048-01 Microsoft Exchange)

El martes 2 de marzo de 2021, Microsoft lanzó varias actualizaciones de seguridad para Microsoft Exchange Server[1], las que fueron compartidas a su vez por el CSIRT de Gobierno (el documento puede ser revisado aquí csirt.gob.cl/vulnerabilidades/9vsa21-00400-01/.

Cuatro de las vulnerabilidades (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065) son consideradas de riesgo crítico, y ya estaban siendo explotadas al momento de ser publicada la actualización por parte de Microsoft.

La empresa explicó que las vulnerabilidades afectan a Exchange Server en sus versiones 2013, 2016 y 2019, y que Exchange Online no ha sido afectado. Exchange Server 2010 tampoco es afectado, pero aun así recibió actualizaciones de seguridad, indicó Microsoft.

Los servidores de Exchange vulnerables deberían ser aislados de redes no confiables hasta que reciban sus parches y cualquier muestra de explotación o persistencia sea remediada.

Una entidad que declaró haber sido afectada es la Autoridad Bancaria Europea, que el 8 de marzo comunicó sufrir una brecha en sus servidores producto de estas vulnerabilidades en Exchange[2]. Asimismo, el parlamento de Noruega (llamado Storting) informó que sus servidores también fueron vulnerados y parte de su información sustraída. La institución señaló no creer que el actual ataque se relacione con uno similar que sufrieron en diciembre, y que fue atribuido al grupo con apoyo estatal ruso APT 28.

Junto con lo anterior, según investigadores de ciberseguridad, más de 30 mil entidades ya habrían sido víctimas en EE.UU.[3].

Parchar es la única mitigación adecuada

Un aspecto importante que Microsoft y entidades como la CISA de EE.UU. han recalcado es que la única forma de mitigar de forma completa estas vulnerabilidades es instalar los parches liberados por la firma de software, y que otras medidas, como restringir las conexiones no confiables o instalar VPN solo protegerán contra una parte del ataque.

Lo anterior, porque estas vulnerabilidades están siendo explotadas como parte de un ataque en cadena, y si bien el ataque inicial requiere que el delincuente haga una conexión no confiable al servidor de Exchange, otras porciones del ataque pueden ser detonadas si el atacante ya ganó acceso o lo obtiene por otros medios.

Una complejidad adicional de la presente serie de vulnerabilidades es que la firma estadounidense considera que estas están siendo explotadas por actores sofisticados, apuntando en particular a HAFNIUM, relacionado a un grupo que recibe apoyo del régimen chino. De acuerdo con Eset, los grupos conocidos como Tick, LuckyMouse y Calypso también se han dedicado a explotar estas vulnerabilidades[4].

Estos grupos están asimismo instalando web shell hoy para explotarlos en el futuro, incluso si las vulnerabilidades recientemente descubiertas son parchadas. La web shell permiten a los atacantes controlar el servidor y acceder las redes internas de la víctima.

Según la CISA, hay evidencia de servidores de Exchange comprometidos desde al menos el 1 de septiembre de 2020[5].

Mitigación

Microsoft ha seguido precisando detalles de los procedimientos para realizar la mitigación de estas amenazas. En primer lugar, recomiendan dejar de usar los servidores de Exchange hasta parcharlos completamente.

Existe una dificultad con el proceso de actualización, cuando se realiza de forma manual en servidores que usan User Account Control (UAC), los cuales necesitan de acciones adicionales para que la actualización se instale correctamente. Para evitar este problema, Microsoft recomienda instalar los parches como administrador, desde la línea de comandos:

  1. Seleccionar “Start” y escribir “cmd”.
  2. En los resultados, clic derecho en “Command Promt” y luego elegir “Run as administrator”.
  3. Si el cuadro de diálogo “User Account Control” aparece, verificar que la acción por defecto es la que usted desea, y luego seleccionar “Continuar”.
  4. Escribir la ruta completa del archivo .msp y luego apretar “Enter”.

Microsoft explica que el error no ocurre si los parches son instalados a través del servicio Windows Update.

La empresa también llama a comunicar los pasos a seguir por medios que se asegure son privados, con tal de no alertar a los ataques de que se conoce o sospecha su presencia.

Así, Microsoft resume una respuesta exitosa en los siguientes tres pasos:

  1. Implementar los parches a los servidores Exchange afectados[6].
  2. Buscar signos de explotación o indicadores de persistencia. Microsoft compartió los respectivos indicadores de compromiso (IOC) en formatos JSON[7] y CSV[8].

Los administradores de los servidores locales de Exchange pueden ejecutar esos comandos manualmente en los logs de Exchange HttpProxy, archivos de logs de Exchange y logs de eventos de Windows Application para buscar los IOC y descubrir si sus servidores fueron hackeados, o usar un script que automatiza la búsqueda (más información a continuación).

  1. Remediar cualquier signo de explotación o persistencia de forma inmediata.

Respecto del punto 2: para facilitar la búsqueda de señales de una posible intrusión aprovechando estas vulnerabilidades, Microsoft liberó el siguiente script de PowerShell para realizar el escaneo en la siguiente URL: https://github.com/microsoft/CSS-Exchange/tree/main/Security, donde los administradores pueden usar para buscar indicadores de compromiso (IOC) más fácilmente.

Este script debe ser ejecutado en el o los servidores locales de Exchange que tenga a cargo el administrador. El script automatiza los cuatro comandos anteriormente informados por Microsoft, además de contar con una barra de progreso y algunas mejoras para hacer más veloz la prueba de CVE-2021-26855, junto con guardar los reportes.

Hashes de web shells:

  • b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
  • 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
  • 2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
  • 65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
  • 511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
  • 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
  • 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
  • 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944

Enlaces

[1] Información oficial entregada por Microsoft (en constante actualización por parte de la empresa): https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/

[2] Comunicado del Autoridad Bancaria Europea: https://www.eba.europa.eu/cyber-attack-european-banking-authority-update-2/

[3] 30 mil organizaciones afectadas en EE.UU.: https://krebsonsecurity.com/2021/03/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software/

[4] “Servidores de Exchange bajo el asedio de al menos 10 grupos de APT”. Eset: https://www.welivesecurity.com/la-es/2021/03/10/servidores-exchange-bajo-asedio-grupos-apt/

[5] Información de CISA: https://us-cert.cisa.gov/remediating-microsoft-exchange-vulnerabilities

[6] Instrucciones de instalación de los parches paso a paso (en castellano):

https://docs.microsoft.com/es-es/exchange/plan-and-deploy/install-cumulative-updates?view=exchserver-2019

[7] IOC en CSV: https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Sample%20Data/Feeds/MSTICIoCs-ExchangeServerVulnerabilitiesDisclosedMarch2021.csv

[8] IOC en JSON: https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Sample%20Data/Feeds/MSTICIoCs-ExchangeServerVulnerabilitiesDisclosedMarch2021.json

 

Resumen de la alerta por vulnerabilidades críticas en Microsoft Exchange