Check Point Research ha registrado cientos de intentos de explotación de vulnerabilidades contra empresas de todo el mundo relacionados con las cuatro vulnerabilidades zero-days que actualmente afectan a Microsoft Exchange Server. Sólo en las últimas horas, CPR ha observado que el número de intentos de explotación en las empresas que rastrea se duplican cada dos o tres horas.
Expertos en ciberseguridad de todo el mundo están realizando grandes esfuerzos de prevención para combatir a los cibercriminales que producen exploits para aprovechar las debilidades de Microsoft Exchange. Tras una importante investigación, CPR señala en su informe las vulnerabilidades detectadas, las empresas afectadas por país y sector, y las recomendaciones para prevenir los ataques, que aún están por llegar:
De todas las empresas atacadas, el 17% proceden del sector público y militar y un 14% del sector industrial. Desde el punto de vista geográfico, el país más atacado resultó ser Turquía (19%), seguido de Estados Unidos (18%) e Italia (10%).
A principios de marzo, Microsoft publicó un parche de emergencia para Exchange Server, el servidor de correo más popular del mundo. Todos los correos electrónicos entrantes y salientes, las invitaciones del calendario y prácticamente cualquier cosa a la que se acceda dentro de Outlook pasa por el servidor Exchange.
Finalmente, la investigación los llevó a descubrir otras cinco vulnerabilidades críticas que permitían a un cibercriminal la lectura de los correos electrónicos de un servidor Exchange sin necesidad de autenticarse o llegar a acceder a la cuenta de correo de un usuario. Además, las diferentes vulnerabilidades permiten a los ciberdelincuentes tomar el control total del propio servidor. Una vez que un ciberdelincuente se apodera del servidor Exchange, puede abrir la red a Internet y acceder a ella de forma remota. Dado que muchos servidores Exchange están conectados a Internet (concretamente a la función Outlook Web Access) y están integrados en la red general, esto supone un riesgo de seguridad crítico para millones de empresas.
Si el servidor de Microsoft Exchange de una empresa tiene acceso a Internet y no se ha actualizado con los últimos parches ni se ha protegido con un software de terceros como Check Point, entonces debería considerar que el servidor está en peligro. Los servidores comprometidos podrían permitir a un cibercriminal no autorizado extraer todos los correos electrónicos corporativos y ejecutar un código malicioso dentro de una empresa con elevados permisos.
¿Cómo funcionan estas vulnerabilidades?
- CVE-2021-26855 – es una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Exchange que permite al ciberdelincuente enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.
- CVE-2021-26857 – es una vulnerabilidad de deserialización insegura en el servicio de Mensajería Unificada. La deserialización insegura es cuando los datos no confiables controlados por el usuario son deserializados por un programa. La explotación de esta vulnerabilidad da a HAFNIUM la capacidad de ejecutar código como SYSTEM en el servidor Exchange. Esto requiere el permiso del administrador u otra vulnerabilidad para explotarla.
- CVE-2021-26858 – es una vulnerabilidad de escritura arbitraria de archivos después de la autenticación en Exchange. Si HAFNIUM pudiera autenticarse en el servidor Exchange, podría utilizar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podrían autenticarse explotando la vulnerabilidad CVE-2021-26855 SSRF o comprometiendo las credenciales de un administrador legítimo.
- CVE-2021-27065 – es una vulnerabilidad de escritura arbitraria de archivos posterior a la autenticación en Exchange. Si HAFNIUM pudiera autenticarse con el servidor Exchange, podría utilizar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podrían autenticarse explotando la vulnerabilidad CVE-2021-26855 SSRF o comprometiendo las credenciales de un administrador legítimo.
Después de su publicación, CPR ha recibido numerosas preguntas sobre la identidad de los ciberdelincuentes, su motivación y el amplio contexto de los últimos ciberataques.
En este sentido, Check Point cuenta con Check Point Harmony, la primera solución unificada que permite la conectividad segura a cualquier recurso en cualquier lugar con una protección total de endpoint en todos los dispositivos. Harmony asegura tanto los dispositivos corporativos como los BYOD y las conexiones a Internet frente a los ataques existentes y de día cero, a la vez que proporciona acceso zero-trust a las aplicaciones corporativas en una única solución fácil de gestionar.
Deja un comentario