El pasado martes Microsoft acusó a Hafnium, un grupo de APT patrocinado por el estado de China, de haber explotado cuatro vulnerabilidades de día cero previamente desconocidas en Exchange Server para acceder a ordenadores y sistemas.
El gigante tecnológico lanzó entonces varias actualizaciones de seguridad para corregir dichas vulnerabilidades e instó a sus usuarios a instalarlas de inmediato. Sin embargo, desde la consultora KrebsOnSecurity aseguran que Hafnium ha "intensificado drásticamente los ataques a cualquier servidor Exchange vulnerable y sin parches en todo el mundo" y que inicialmente ha hackeado al menos 30.000 organizaciones solo en Estados Unidos, aunque ayer lunes ya se hablaban de más de 250.000. Además, Microsoft ha reconocido que los parches no son una solución si sus servidores de Exchange ya se han visto comprometidos, ni son una protección completa contra ataques.
La Cibersecurity & Infraestructure Segurity Agency (CISA) de Estados Unidos ha publicado a primera hora de hoy una alerta urgiendo a todas las organizaciones, con independencia de su tamaño, a hacer frente a las vulnerabilidades de Microsoft Exchange.
En esta alerta recuerda a los directivos que los atacantes pueden aprovechar esta vulnerabilidad para poner en peligro su red y robar información, cifrar datos para obtener un rescate o incluso ejecutar un ataque destructivo.
Los líderes de todas las organizaciones deben abordar este incidente de inmediato preguntando a su personal de IT, señala dicha alerta, quienes deben tomar medidas o, si necesitan soporte, solicitarlo inmediatamente. Y pide a los líderes de las corporaciones que pidan actualizaciones frecuentes del personal de IT de la compañía o de terceros sobre el progreso en la implementación de todos los pasos de esta guía:
- Si tienes la capacidad, sigue esta guía CISA Alert AA21-062A: Mitigate Microsoft Exchange Server Vulnerabilities to create a para crear una copia de seguridad forense de tu sistema.
- Comprueba los indicadores de compromiso (IOC) ejecutando Microsoft IOC Detection Tool for Exchange Server Vulnerabilities.
- Actualiza inmediatamente todas las instancias de Microsoft Exchange que estés alojando.
- Si no eres capaz de aplicar las actualizaciones inmediatamente, sigue las mitigaciones alternativas de Microsoft provisionalmente. Nota: esta no es una solución a largo plazo. Las organizaciones deben aplicar las actualizaciones tan rápido como sea posible.
- Si tu seguridad se ha visto comprometida, sigue la guía CISA Alert AA21-062A. Para más información sobre respuesta a incidentes, consulta CISA Alert AA20-245A: Technical Approaches to Uncovering and Remediating Malicious Activity. Nota: Dar respuesta a las IOC es fundamental para expulsar a un atacante de su red y, consecuentemente, debe realizarse junto a la adopción de medidas para proteger el entorno de Microsoft Exchange.
Por su parte, la empresa de ciberseguridad Sophos ha estado siguiendo de cerca el asunto y también ha ofrecido consejos sobre cómo las empresas deben cazar estas amenazas y mitigar ataques sufridos o posibles ataques futuros.
"Estas vulnerabilidades son importantes y deben tomarse bien en serio. Permiten a los atacantes ejecutar de forma remota comandos en los servidores afectados sin necesidad de credenciales, y cualquier amenaza podría aprovecharse de ellas. El amplio uso de Exchange y su exposición a Internet significan que muchas empresas que ejecutan un servidor local de Exchange podrían estar en riesgo", ha advertido Mat Gangwer, director senior de Sophos Managed Threat Response.
"Los cibercriminales están explotando activamente estas vulnerabilidades, siendo la técnica principal el despliegue de un webshell. Algo que, de no abordarse, puede permitir que la amenaza ejecute comandos de forma remota mientras ese webshell esté presente", ha continuado indicando Gangwer.
El experto en ciberseguridad de Sophos también ha de alertado que Hafnium no es el único peligro, ya que cualquier actor de ciberamenazas podría explotar estas vulnerabilidades.
Qué deben hacer las empresas para responder al hackeo
Así ha explicado Gangwer los pasos que deben seguir las empresas:
"Las empresas que utilizan un servidor Exchange local deben asumir que están afectadas y, en primer lugar, parchear sus dispositivos Exchange y confirmar que las actualizaciones se han realizado correctamente. Sin embargo, la simple aplicación de los parches no elimina de la red los artefactos anteriores al parche. Las organizaciones necesitan ojos humanos e inteligencia para determinar si se han visto afectadas y en qué medida y, lo que es más importante, para neutralizar el ataque y eliminar al enemigo de sus redes.
"Las empresas deben revisar los registros del servidor en busca de indicios de que un atacante pueda haber explotado su servidor Exchange. Muchos de los actuales indicadores de compromiso conocidos están basados en el webshell, por lo que habrá restos de archivos en el servidor Exchange. Por lo tanto, es importante tener una visión general de los archivos y de cualquier modificación de estos. Teniendo instalado un producto de detección y respuesta de endpoints (EDR), también se pueden revisar los registros y procesar la ejecución de comandos.
"Si se encuentra alguna actividad anómala o sospechosa, debe determinarse su exposición, ya que se podrá decidir qué hacer a continuación. Es necesario comprender la duración o el impacto que puede haber tenido esta actividad. ¿Cuál es el lapso de tiempo entre la aparición del webshell u otros artefactos en la red y el momento del parcheo o su descubrimiento? Este suele ser un buen momento para pedir apoyo externo si no se está seguro de qué hacer. La respuesta forense y frente a incidentes de terceros puede ser vital en esta etapa, ya que ofrece una detección y caza de amenazas experimentada e inteligencia humana que puede ahondar en la red y encontrar a los atacantes".
CISA ofrece asimismo en su alerta otras fuentes adicionales que pueden consultarse:
- Emergency Directive 21-02: Mitigate Microsoft Exchange On-Premises Product Vulnerabilities
- CISA Alert AA21-062A: Mitigate Microsoft Exchange Server Vulnerabilities
- Microsoft IOC Detection Tool for Exchange Server Vulnerabilities
- Microsoft Security Update Guide: Microsoft Exchange Server Remote Code Execution Vulnerability
- CISA Alert AA20-245A: Technical Approaches to Uncovering and Remediating Malicious Activity
- Microsoft Advisory: Multiple Security Updates Released for Exchange Server
- Microsoft Security Blog: Hafnium targeting Exchange Servers
- Volexity Blog: Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities
- Microsoft Security Response Center Blog: Microsoft Exchange Server Vulnerabilities Mitigations
- CISA and Multi-State Information Sharing and Analysis Center (MS-ISAC) Joint Ransomware Guide