Microsoft reveló el viernes que un solo grupo de actividad en agosto de 2022 logró el acceso inicial y violó los servidores de Exchange al encadenar las dos fallas de día cero recientemente reveladas en un conjunto limitado de ataques dirigidos a menos de 10 organizaciones en todo el mundo.
«Estos ataques instalaron el shell web de Chopper para facilitar el acceso directo al teclado, que los atacantes usaron para realizar el reconocimiento de Active Directory y la exfiltración de datos», dijo Microsoft Threat Intelligence Center (MSTIC). dijo en un informe del viernes.
Se espera que el uso de armas de las vulnerabilidades aumente en los próximos días, advirtió Microsoft, ya que los actores maliciosos cooptan las vulnerabilidades en sus kits de herramientas, incluida la implementación de ransomware, debido al «acceso altamente privilegiado que los sistemas de Exchange confieren a un atacante».
El gigante tecnológico atribuyó los ataques en curso con confianza media a una organización patrocinada por el estado, y agregó que ya estaba investigando estos ataques cuando Zero Day Initiative reveló las fallas al Microsoft Security Response Center (MSRC) a principios de este mes el 8 y 9 de septiembre de 2022. .
Las dos vulnerabilidades han sido denominadas colectivamente ProxyNotShelldebido al hecho de que «es la misma ruta y par SSRF/RCE» que ProxyShell pero con autenticación, lo que sugiere un parche incompleto.
Los problemas, que se unen para lograr la ejecución remota de código, se enumeran a continuación:
- CVE-2022-41040 – Vulnerabilidad de falsificación de solicitud del lado del servidor de Microsoft Exchange Server
- CVE-2022-41082 – Vulnerabilidad de ejecución remota de código de Microsoft Exchange Server
“Si bien estas vulnerabilidades requieren autenticación, la autenticación necesaria para la explotación puede ser la de un usuario estándar”, dijo Microsoft. «Las credenciales de usuario estándar se pueden adquirir a través de muchos ataques diferentes, como el rociado de contraseñas o la compra a través de la economía ciberdelincuente».
Las vulnerabilidades fueron descubiertas por primera vez por la empresa de ciberseguridad vietnamita GTSC como parte de sus esfuerzos de respuesta a incidentes para un cliente en agosto de 2022. Se sospecha que un actor de amenazas chino está detrás de las intrusiones.
El desarrollo se produce como la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) adicional las dos vulnerabilidades de día cero de Microsoft Exchange Server en su catálogo de Vulnerabilidades conocidas explotadas (KEV), lo que requiere que las agencias federales apliquen los parches antes del 21 de octubre de 2022.
Microsoft dijo que está trabajando en una «línea de tiempo acelerada» para lanzar una solución a las deficiencias. También tiene publicó un guión para la siguiente URL, reescriba los pasos de mitigación que decían «con éxito en romper las cadenas de ataque actuales» –
- Administrador de IIS abierto
- Seleccionar sitio web predeterminado
- En la Vista de características, haga clic en Reescritura de URL
- En el panel Acciones en el lado derecho, haga clic en Agregar regla(s)…
- Seleccione Solicitar bloqueo y haga clic en Aceptar
- Agregue la cadena «.*autodiscover.json.*@.*Powershell.*» (excluyendo las comillas)
- Seleccione Expresión regular en Uso
- Seleccione Cancelar solicitud en Cómo bloquear y luego haga clic en Aceptar
- Expanda la regla y seleccione la regla con el patrón .*autodiscover.json.*@.*Powershell.* y haga clic en Editar en Condiciones.
- Cambie la entrada de condición de URL a REQUEST_URI
Como medidas de prevención adicionales, la empresa insta a las empresas a hacer cumplir la autenticación multifactor (MFA), deshabilitar autenticación heredaday eduque a los usuarios sobre cómo no aceptar avisos inesperados de autenticación de dos factores (2FA).
«Microsoft Exchange es un objetivo jugoso para que los actores de amenazas exploten por dos razones principales», dijo a The Hacker News Travis Smith, vicepresidente de investigación de amenazas de malware en Qualys.
«Primero, Intercambio […] estar conectado directamente a Internet crea una superficie de ataque a la que se puede acceder desde cualquier parte del mundo, lo que aumenta drásticamente el riesgo de ser atacado. En segundo lugar, Exchange es una función de misión crítica: las organizaciones no pueden simplemente desconectar o apagar el correo electrónico sin afectar gravemente su negocio de manera negativa».