Microsoft ha lanzado parches de emergencia para cuatro vulnerabilidades de día cero previamente desconocidas en Exchange Server, un sistema de mensajería que fue diseñado para ser usado en un entorno comercial y que incluye un servidor de correo, un programa de email y aplicaciones de trabajo en grupo.
En una publicación de su blog realizada esta semana, Microsoft reconoció que se habían observado ciberataques en los que los hackers utilizaron estas vulnerabilidades para acceder a los servidores locales de Exchange, "lo que permitió el acceso a las cuentas de correo electrónico, y permitió la instalación de malware adicional para facilitar el acceso a largo plazo a los entornos de las víctimas". Dicho esto, la firma señaló directamente a quienes considera responsables.
"El Centro de Inteligencia de Microsoft atribuye con gran confianza esta campaña a 'Hafnium', un grupo que se considera patrocinado por el estado de China y que opera fuera de este país, según la victimología, las tácticas y los procedimientos observados (…).'Hafnium' se dirige principalmente a entidades en los Estados Unidos en una serie de sectores industriales, incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONG".
El gigante tecnológico no ha concretado el número de ataques que ha observado, pero lo calificó como "limitado".
Estas eran las cuatro vulnerabilidades de día cero
Según ha confirmado Microsoft, las versiones afectadas por estas vulnerabilidades son Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019. Asimismo, ha aclarado que Exchange Online, la versión del servicio basada en la nube, no se vio afectada y ha proporcionado los siguientes detalles con el fin de "ayudar a nuestros clientes a comprender las técnicas utilizadas por 'Hafnium' para explotar estas vulnerabilidades y permitir una defensa más eficaz contra cualquier ataque futuro contra sistemas sin parches".
CVE-2021-26855: Vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Exchange que permitió al atacante enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.
CVE-2021-26857: Vulnerabilidad de deserialización insegura en el servicio de mensajería unificada. "La explotación de esta vulnerabilidad le dio a 'Hafnium' la capacidad de ejecutar código como SYSTEM en el servidor Exchange", indica el gigante tecnológico.
CVE-2021-26858: Vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación en Exchange. "Si 'Hafnium' pudiera autenticarse con el servidor de Exchange, entonces podrían usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podrían autenticarse explotando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo", explica.
CVE-2021-27065: Es una vulnerabilidad que comparte las mismas características que la anterior y que Microsoft describe con las mismas palabras.
"Después de explotar estas vulnerabilidades para obtener acceso inicial, los operadores de Hafnium implementaron web shells en el servidor comprometido. Potencialmente, los web shells permiten a los atacantes robar datos y realizar acciones maliciosas adicionales que conducen a un mayor compromiso", continúa explicando la firma tecnológica. Además, señala que los atacantes también pudieron descargar la libreta de direcciones de Exchange de los sistemas comprometidos, que contiene información sobre las organizaciones y sus usuarios.
Insta a las organizaciones a actualizar Exchange Server
En su publicación, Microsoft insta "encarecidamente" a los usuarios de Exchange a descargar cuanto antes las actualizaciones que ha lanzado para corregir estas vulnerabilidades ya que, si se tiene alguna de ellas, un cibercriminal podría ejecutar código de forma remota, tomar el control del sistema afectado o acceder a información confidencial.