Se cree que los ataques a servidores Microsoft Exchange en todo el mundo por parte del grupo de amenazas patrocinado por el Estado chino Hafnium han afectado a más de 21.000 organizaciones. El impacto de estos ataques está creciendo a medida que las cuatro vulnerabilidades de día cero son recogidas por nuevos actores de amenazas.
Aunque el mundo conoció estas vulnerabilidades críticas el2 de marzo, cuando Microsoft publicó las actualizaciones de seguridad y las orientaciones para mitigarlas, la primera explotación conocida de esta vulnerabilidad se produjo a principios de enero. Aunque la aplicación de las actualizaciones recomendadas por Microsoft protege a las organizaciones de la explotación continuada o futura de estas vulnerabilidades conocidas, no mitiga ningún riesgo que ya se haya producido. Y como estas vulnerabilidades de Exchange están expuestas a Internet, los ciberdelincuentes siguen buscando vorazmente sistemas sin parches para atacar a una escala sin precedentes.
Recientemente tuve la oportunidad de hablar con Alan Sugano, presidente de ADS Consulting Group, sobre los ataques Hafnium para un episodio del Podcast HIP. A través de su trabajo con ADS Consulting Group, una organización de apoyo para muchas pequeñas y medianas empresas con un profundo conocimiento de Microsoft Exchange, Alan está íntimamente involucrado con los parches y los esfuerzos de mitigación relacionados con los ataques Hafnium. Cuando hablé con Alan, discutimos qué son exactamente los ataques Hafnium y cómo proporcionan acceso no autorizado a sistemas críticos como Active Directory (AD), así como orientación práctica sobre cómo las empresas pueden defenderse contra estos ataques.
¿Cómo funcionan los ataques de Hafnio?
Los ataques Hafnium son en gran medida ataques automatizados que buscan Servidores Exchange sin parches basándose en la información de la que disponemos en este momento. Aprovechando cuatro vulnerabilidades de día cero, los atacantes son capaces de realizar búsquedas remotas de servidores Exchange expuestos a Internet para acceder a cualquier servidor Exchange a través de Outlook Web Access (OWA). A continuación, crean un shell web para controlar el servidor comprometido de forma remota para robar los datos de una organización y obtener acceso no autorizado a sistemas críticos como AD. Al atacar AD, los ciberdelincuentes pueden elevar privilegios y moverse lateralmente a otros sistemas y entornos.
¿Cómo puede una organización confirmar si ha sido pirateada?
Uno de los mayores indicadores de compromiso (IOC) es la presencia de un archivo ASPX que no parece que deba estar ahí. Las organizaciones pueden buscar estos archivos web shell comprobando esta ruta C:inetpubwwwrootaspnet_clientsystem_web. Microsoft también ha publicado varias secuencias de comandos PowerShell para que las organizaciones ejecuten una comprobación de los COI de Hafnium en diferentes carpetas, así como los nombres de archivo que deben buscar.
Una vez que el archivo ASPX está ahí, no importa si una organización ha parcheado su servidor. Si el archivo ASPX está ahí, significa que el shell web ya ha sido instalado y que un atacante tiene acceso a los sistemas vulnerables.
¿Qué medidas deben tomar las organizaciones para comprobar si se han visto comprometidas?
Las organizaciones pueden verse afectadas por múltiples variantes de Hafnium, y es posible que ya se hayan creado nuevas variantes que harían que el shell web apareciera en una carpeta diferente que no aparece en los scripts PowerShell de Microsoft. Por este motivo, se recomienda descargar Microsoft Safety Scanner. Este escáner realizará un análisis completo del servidor Exchange de una organización y detectará los web shells que el software antivirus comercial es incapaz de detectar. Confiar en el software antivirus tradicional sólo dará a su organización una falsa sensación de seguridad y la dejará vulnerable.
Es importante tener en cuenta que, durante el escaneado real, Microsoft Safety Scanner puede detectar "archivos infectados". Suena aterrador, pero puede tratarse simplemente de una parte de un archivo que coincide con uno de los patrones que busca el escáner. Para saber con certeza si su organización se ha visto o no comprometida, deberá revisar los resultados completos una vez finalizada la exploración de índice. Aunque el escáner de seguridad eliminará automáticamente los archivos infectados, es recomendable volver a ejecutar el escaneado completo después de reiniciar Exchange Server para asegurarse de que no se ha perdido ningún archivo.
¿Qué medidas correctoras debe adoptar una organización comprometida?
Si Microsoft Security Scanner encuentra un shell web, esa organización también debe comprobar ScheduledTasks para asegurarse de que no hay tareas programadas que ejecuten VSPerfMon, que abre puertas traseras que mantienen el acceso persistente a los servidores Exchange comprometidos. Para ello, abra un símbolo del sistema en Exchange Server y ejecute Schtasks.exe. Otra puerta trasera potencial es la presencia de una clave de ruta de imagen de un navegador Opera, que los atacantes utilizan como método para lanzar un troyano de acceso remoto que permite el control administrativo. Antes de eliminar cualquier puerta trasera, las organizaciones querrán bloquear el acceso a OWA para evitar que los atacantes introduzcan otra puerta trasera durante el proceso de reparación.
Además, cualquier incursión en la red de una organización conduce inevitablemente a AD porque al hacerlo proporciona a los atacantes acceso a credenciales privilegiadas. Esto significa que si AD se ve comprometido, todo el entorno de una organización se ve comprometido. Analizar los sistemas en busca de IOC e IOE (indicadores de exposición) es un paso fundamental para reforzar la seguridad de AD. Algo que puede ayudar, y que recomiendo encarecidamente a los profesionales de la seguridad, es Purple KnightSemperis, una herramienta gratuita de evaluación de la seguridad diseñada para escanear AD en busca de 59 IOE e IOC diferentes en cuestión de segundos. Semperis también ha mejorado recientemente Directory Services Protector (DSP) v3.5, que permite a las organizaciones supervisar continuamente AD en busca de indicadores de seguridad previos y posteriores a un ataque y descubrir vulnerabilidades peligrosas.
Por último, es importante que los equipos de seguridad hagan un esfuerzo consciente por mantenerse al día de las noticias relacionadas con Hafnium y Exchange Server, especialmente de cualquier nuevo descubrimiento en torno a vulnerabilidades. El blog TRUESEC y el blog Huntress son grandes fuentes de información.
El acceso que se puede conseguir explotando las vulnerabilidades es significativo. Actuando con rapidez para eliminar las web shells y cualquier otra puerta trasera, las organizaciones pueden proteger sus datos antes de que los atacantes tengan la oportunidad de empezar a extraer datos de los servidores comprometidos.
-
Escuche la conversación completa sobre los ataques al hafnio con Sean Deuby, director de servicios de Semperis, y Alan Sugano, presidente de ADS Consulting Group, en el último episodio del podcast HIP.