Microsoft Exchange bajo el fuego enemigo

Microsoft Exchange es un objetivo prioritario para los ciberdelincuentes. Da igual cuándo leas esto, como dice el meme, porque es una realidad siempre, y una de las razones por las que tanto Microsoft como los investigadores y expertos en seguridad analizan constantemente su funcionamiento, a la busca y captura de posibles agujeros de seguridad, a ser posible antes de que sean detectados por los de las aviesas intenciones. El problema es que no siempre llegan a tiempo.

Hace unos días, Microsoft informó de cuatro vulnerabilidades 0-day en Microsoft Exchange que ya estaban siendo explotadas in the wild, es decir, que ya habían sido descubiertas por ciberdelincuentes que las estaban explotando. Estos cuatro problemas de seguridad han sido identificados con los códigos CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065 y, de manera conjunta con la divulgación de los mismos, los de Redmond publicaron también las herramientas necesarias para parchearlos y asegurar las instalaciones frente a ataques basadas en cualquiera de ellos.

¿El problema? Pues el que ocurre prácticamente siempre: el lapso de tiempo que transcurre entre que un día-0 es divulgado públicamente y el software afectado empieza a ser parcheado, una ventana temporal que es explotada hasta el agotamiento por parte de los ciberdelincuentes que, tal y como tienen conocimiento ampliado de las vulnerabilidades, saben que los primeros días son clave. Y puedes tener por seguro que no los desaprovechan, más aún en un software tan extendido como Microsoft Exchange.

Tal es el caso de las vulnerabilidades de Microsoft Exchange, que pese a que ya cuentan con parches para mitigar la amenaza, están siendo activamente explotadas contra algunos objetivos estratégicos de Estados Unidos, según podemos leer en un informe de Mandiant, la plataforma de seguridad de FireEye. Peor aún, en esos ataques se ha detectado que los ciberdelincuentes están empleando la falla no parcheada de Microsoft Exchange para establecer tanto un acceso persistente, incluso cuando finalmente se apliquen los parches que mitiguen la amenaza.

Dos son las principales amenazas que señalan los expertos en seguridad. Por una parte se encuentra el robo y exfiltración de información. Entre los objetivos de estos ataques identificados por Mandiant se encuentran entidades gubernamentales locales, por lo que esto puede atender, a su vez, a dos intereses distintos: el primero, como ya habrás podido imaginar ya que hablamos de entidades públicas, es emplear dicha información en contra de las mismas, por lo que estaríamos hablando de ciberespionaje, y en algunos casos puede que también de cibersabotaje. En la segunda posibilidad confluyen, potencialmente, todos los atacados (públicos y privados), y como ya habrás imaginado, efectivamente hablamos de ransomware, una de las ciberamenazas más presentes en la actualidad.

En los ataques detectados por Mandiant se pudo comprobar como los ciberdelincuentes emplearon los agujeros de seguridad para implementar shells web, robar credenciales y eliminar las cuentas de administración de los servidores Microsoft Exchange no parcheados. «La actividad que hemos observado, junto con otras en la industria de la seguridad de la información, indica que estos actores de amenazas probablemente estén utilizando las vulnerabilidades de Exchange Server para afianzarse en los entornos«, dice Mandiant. «Esta actividad es seguida rápidamente por [habilitar] un acceso adicional y mecanismos persistentes«.

La entrada Microsoft Exchange bajo el fuego enemigo es original de MuySeguridad. Seguridad informática.