La empresa lanzó una serie de parches para contrarrestar el hackeo a servidores Exchange, pero más de 60.000 empresas se han visto afectadas hasta ahora, entre ellas algunas empresas españolas.
A principios del mes de enero, Microsoft era avisado por Orange Tsai, conocido investigador de vulnerabilidades, de cuatro vulnerabilidades de ejecución remota de código (RCE) de autenticación previa (CVE-2021-26855, CVE- 2021-26857, CVE-2021-26858 y CVE-2021-27065) que permiten a un atacante tomar el control de cualquier servidor Exchange accesible, sin siquiera conocer las credenciales de una cuenta válida.
Sin embargo, parece ser que antes de este aviso, esas vulnerabilidades ya estaban siendo explotadas tal y como explica Volexity en su blog. Al parecer detectaron actividad anómala en dos servidores de Microsoft Exchange al comprobar que se estaba robando contenido completo de varios buzones de correo.
Microsoft denunció en marzo que Hafnium estaba detrás de esos primeros ataques auspiciados por el gobierno chino, aunque éste lo niega.. Pero en febrero, esas vulnerabilidades ya estaban siendo usadas por otros grupos de hackers como Tick, LuckyMouse, Calypso o el Grupo Winnti
El 2 de marzo, Microsoft anunció el lanzamiento de los parches e instó a actualizar inmediatamente. Aunque avisó de que los servidores online no estaban afectados y que solo afectaba a servidores locales.
En cuanto Microsoft anunció su solución, más grupos APT como Tonto Team o Mikroceen se unieron a hackear más servidores de forma masiva explotando el RCE, sabedores de que no todos los servidores iban a ser actualizados rápidamente.
Eset ha detectado en varios servidores, la instalación de webshells en los archivos de configuración de la libreta de direcciones sin conexión (OAB) con la intención de poder actuar a través de ellos e instalar malware para así poder acceder sin usar el exploit, por lo que podrían tener acceso aunque se actualizase el servidor.
Aunque al principio se dijo que afectaba a unas 30.000 organizaciones de EUA, según un reportaje de la agencia Bloomberg ya habrían más de 60.000 víctimas, entre ellas la Autoridad Bancaria Europea, gobiernos locales, pequeños negocios… Hasta ahora pocas organizaciones han admitido haber sido atacadas.
Según Microsoft, a fecha del 11 de marzo, ya habían lanzado actualizaciones para el 95% de los servidores Exchange en activo.
Recientemente, Microsoft ha lanzado una herramienta de mitigación local para Microsoft Exchange y así poder ayudar a las organizaciones que no tienen equipos TI o de seguridad dedicados.
Desde SCI Serviclients recomendamos los siguientes pasos para solucionar el problema:
- Actualizar el servidor con los parches
- Comprobar si el sistema ha sido comprometido
- Monitorizar la red para detectar cualquier signo que nos indique si ha podido instalarse malware.
Si no está familiarizado con la revisión y aplicación de parches, le recomendamos que utilice la herramienta EOMT como solución temporal, la cual verificará que su sistema no esté comprometido con la vulnerabilidad CVE-2021-26855 y, en caso de que estuviera comprometido, aplicaría un parche para solucionarlo.
Por lo que se refiere a las otras vulnerabilidades, recomendamos encarecidamente que contacte con su proveedor de servicios Exchange para mitigar estas vulnerabilidades de la forma más urgente posible.
Fuente: Eset, Microsoft, BBC
