Una alerta de seguridad publicada por Microsoft menciona que un grupo de actores de amenazas chinos está desplegando una campaña de ciberespionaje a través de múltiples exploits día cero para servidores Microsoft Exchange. Esta alerta incluye el lanzamiento de parches de seguridad de emergencia para mitigar el riesgo de explotación.
La compañía tecnológica atribuye este incidente a un grupo de hacking auspiciado por el gobierno chino conocido como HAFNIUM, operando desde servidores privados virtuales alojados en E.U. Este grupo de hacking ha estado involucrado en múltiples incidentes detectados en bufetes legales, instituciones académicas, contratistas de defensa e incluso organizaciones no gubernamentales.
Microsoft asegura que los actores de amenazas encadenaron cuatro vulnerabilidades día cero dirigidas a Exchange Server (Outlook Web App). Esta falla habría expuesto a los usuarios de Exchange a ataques de ejecución remota de código sin requerir de autenticación. El reporte también señala las vulnerabilidades explotadas por los hackers:
- CVE-2021-26855: Esta vulnerabilidad de falsificación de solicitudes del lado del servidor en Exchange permite a los atacantes enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange
- CVE-2021-26857: Esta falla de deserialización insegura en el servicio de mensajería unificada permite a los hackers maliciosos ejecutar código en el servidor Exchange como SYSTEM, lo que requiere permisos de administrador y el uso de otra vulnerabilidad
- CVE-2021-26858: Esta es una falla de escritura de archivos arbitrarios posterior a la autenticación en Exchange. Si HAFNIUM pudiera autenticarse con el servidor de Exchange, entonces podrían usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor
- CVE-2021-27065: Esta falla de escritura de archivos arbitrarios posterior a la autenticación en Exchange permitiría a los actores de amenazas autenticarse en el sistema objetivo explotando la vulnerabilidad CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo
El compromiso de los sistemas expuestos se lleva a cabo en tres etapas: en primer lugar, los hackers obtuvieron acceso a un servidor Exchange. Posteriormente, los atacantes crearon un shell web para controlar el servidor comprometido remotamente para finalmente abusar de este acceso remoto para interceptar la información del sistema afectado. Los atacantes también pudieron descargar libretas de direcciones sin conexión de Exchange de los sistemas comprometidos. Estos documentos contienen información sobre la organización afectada y sus usuarios, agregó Microsoft.
En un reporte separado, Microsoft menciona que HAFNIUM también ha apuntado contra los usuarios de la suite Office 365: “A pesar de que los ataques exitosos no son muy comunes, esta actividad de reconocimiento ayuda a los actores de amenazas a identificar de forma más detallada las configuraciones de los entornos analizados y eventualmente lanzar ataques más precisos.”
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad