Microsoft confirmó a última hora del jueves la existencia de dos vulnerabilidades críticas en su aplicación Exchange. Estas ya han comprometido múltiples servidores y suponen un grave riesgo para unos 220.000 más en todo el mundo.
Los fallos de seguridad, actualmente sin parchear, han sido objeto de explotación activa desde principios de agosto. Entonces, la empresa de seguridad GTSC, con sede en Vietnam, descubrió que las redes de los clientes habían sido infectadas con webshells maliciosas. Siendo el punto de entrada inicial algún tipo de vulnerabilidad de Exchange. El misterioso exploit era casi idéntico a un ZeroDay de Exchange de 2021 llamado ProxyShell. Pero todos los servidores de los clientes habían sido parcheados contra la vulnerabilidad, que se rastrea como CVE-2021-34473. Finalmente, los investigadores descubrieron que los hackers desconocidos estaban explotando una nueva vulnerabilidad de Exchange.
Exchange: Webshells, puertas traseras y sitios falsos
«Después de dominar con éxito el exploit, grabamos los ataques para recopilar información y crear un punto de apoyo en el sistema de la víctima». Escribieron los investigadores en un post publicado el miércoles. «El equipo de ataque también utilizó varias técnicas para crear puertas traseras en el sistema afectado. Realizando movimientos laterales a otros servidores del sistema».
El jueves por la noche, Microsoft confirmó que las vulnerabilidades eran nuevas y dijo que se estaba apresurando a desarrollar y lanzar un parche. Las nuevas vulnerabilidades son: CVE-2022-41040, una vulnerabilidad de falsificación de solicitudes del lado del servidor, y CVE-2022-41082, que permite la ejecución remota de código cuando PowerShell es accesible al atacante.
«En este momento, Microsoft es consciente de los limitados ataques dirigidos que utilizan las dos vulnerabilidades para entrar en los sistemas de los usuarios», escribieron los miembros del equipo del Centro de Respuesta de Seguridad de Microsoft. «En estos ataques, CVE-2022-41040 puede permitir a un atacante autenticado activar remotamente CVE-2022-41082». Los miembros del equipo subrayaron que para que los ataques tengan éxito se necesitan credenciales válidas. Para al menos un usuario de correo electrónico en el servidor.
La vulnerabilidad afecta a los servidores Exchange locales y, estrictamente hablando, no al servicio Exchange alojado de Microsoft. La gran advertencia es que muchas organizaciones que utilizan la oferta en la nube de Microsoft eligen una opción que utiliza una mezcla de hardware local y en la nube. Estos entornos híbridos son tan vulnerables como los locales.
Un ataque que podría venir de China
La publicación del miércoles del GTSC dice que los atacantes están explotando la vulnerabilidad para infectar los servidores con webshells. Una interfaz de texto que les permite emitir comandos. Estas webshells contienen caracteres chinos simplificados, lo que lleva a los investigadores a especular que los hackers dominan el chino. Los comandos emitidos también llevan la firma de China Chopper. Una webshell comúnmente utilizada por los actores de amenazas de habla china. Incluidos varios grupos de amenazas persistentes avanzadas conocidos por estar respaldados por la República Popular China.
El GTSC añadió que el malware que los actores de la amenaza acaban instalando emula el servicio web Exchange de Microsoft. También establece una conexión con la dirección IP 137[.]184[.]67[.]33, que está codificada en el binario. El investigador independiente Kevin Beaumont dijo que la dirección aloja un sitio web falso con un solo usuario con un minuto de inicio de sesión y ha estado activo sólo desde agosto.
El malware envía y recibe datos cifrados con una clave de cifrado RC4 generada en tiempo de ejecución. Beaumont añadió que el malware de puerta trasera parece ser novedoso, lo que significa que es la primera vez que se utiliza en la naturaleza.
Los usuarios de servidores Exchange locales deben tomar medidas inmediatas. En concreto, deben aplicar una regla de bloqueo que impida que los servidores acepten patrones de ataque conocidos. La regla se puede aplicar yendo a «IIS Manager -> Default Web Site -> URL Rewrite -> Actions». Por el momento, Microsoft también recomienda que se bloquee el puerto HTTP 5985 y el puerto HTTPS 5986, que los atacantes necesitan para explotar CVE-2022-41082.
