Los investigadores de seguridad advierten sobre fallas no reveladas previamente en servidores de Microsoft Exchange completamente parcheados que están siendo explotados por actores malintencionados en ataques del mundo real para lograr la ejecución remota de código en los sistemas afectados.
Eso es según la compañía vietnamita de ciberseguridad GTSC, que descubrió las deficiencias como parte de sus esfuerzos de monitoreo de seguridad y respuesta a incidentes en agosto de 2022.
Las dos vulnerabilidades, a las que aún no se les han asignado identificadores CVE formalmente, están siendo rastreado por Zero Day Initiative como ZDI-CAN-18333 (puntuación CVSS: 8,8) y ZDI-CAN-18802 (puntuación CVSS: 6,3).
GTSC dijo que se podría abusar de la explotación exitosa de las fallas para afianzarse en los sistemas de la víctima, lo que permitiría a los adversarios lanzar caparazones web y realizar movimientos laterales a través de la red comprometida.
«Detectamos webshells, en su mayoría ofuscados, que caían en los servidores de Exchange», dijo la empresa. señalado. «Usando el agente de usuario, detectamos que el atacante usa Antsword, una herramienta activa de administración de sitios web multiplataforma de código abierto basada en chino que admite la administración de shell web».
Se dice que las solicitudes de explotación en los registros de IIS aparecen en el mismo formato que las vulnerabilidades de ProxyShell Exchange Server, y GTSC señaló que los servidores objetivo ya habían sido reparados contra las fallas que salieron a la luz en marzo de 2021.
La compañía de seguridad cibernética teorizó que los ataques probablemente se originaron en un grupo de piratas informáticos chino debido a la codificación del shell web en chino simplificado (Página de códigos de Windows 936).
También se implementó en los ataques el shell web de China Chopper, una puerta trasera liviana que puede otorgar acceso remoto persistente y permitir que los atacantes se vuelvan a conectar en cualquier momento para una mayor explotación.
Vale la pena señalar que el Cáscara web de China Chopper también fue desplegado por Hafnium, un presunto grupo patrocinado por el estado que opera fuera de China, cuando las vulnerabilidades de ProxyShell fueron objeto de una explotación generalizada el año pasado.
Otras actividades posteriores a la explotación observadas por GTSC implican la inyección de archivos DLL maliciosos en la memoria, soltar y ejecutar cargas útiles adicionales en los servidores infectados mediante la línea de comandos de WMI (WMIC) utilidad.
La compañía dijo que al menos más de una organización ha sido víctima de una campaña de ataque que aprovecha las fallas de día cero. Se han ocultado detalles adicionales sobre los errores a la luz de la explotación activa.
Nos comunicamos con Microsoft para obtener más comentarios y actualizaremos la historia si recibimos una respuesta.
Mientras tanto, como soluciones temporales, se recomienda agregar una regla para bloquear solicitudes con indicadores de compromiso mediante el Módulo de regla de reescritura de URL para servidores IIS –
- En Detección automática en FrontEnd, seleccione la pestaña Reescritura de URL y luego seleccione Solicitar bloqueo
- Agregue la cadena «.*autodiscover.json.*@.*Powershell.*» a la ruta de URL y
- Entrada de condición: elija REQUEST_URI
«Puedo confirmar que un número significativo de servidores de Exchange han sido respaldados, incluido un honeypot», dijo el investigador de seguridad Kevin Beaumont en una serie de tuits, y agregó que «parece una variante de proxy a la interfaz de administración nuevamente».
«Si no ejecuta Microsoft Exchange en sus instalaciones y no tiene Outlook Web App frente a Internet, no se verá afectado», Beaumont dijo.