Vulnerabilidad exchange
Hackeo de exchange
Los honeypots de servidores Microsoft Exchange de los investigadores están siendo explotados activamente a través de ProxyShell: El nombre de un ataque revelado en Black Hat la semana pasada que encadena tres vulnerabilidades para permitir a los atacantes no autentificados realizar la ejecución remota de código (RCE) y enganchar contraseñas en texto plano.
En su presentación en Black Hat la semana pasada, el investigador principal de seguridad de Devcore, Orange Tsai, dijo que un estudio muestra más de 400.000 servidores Exchange en Internet que están expuestos al ataque a través del puerto 443. El lunes, Jan Kopriva, del SANS Internet Storm Center, informó de que había encontrado más de 30.000 servidores Exchange vulnerables a través de un escaneo de Shodan y que cualquier actor de amenazas digno de ese título lo encontraría muy fácil de llevar a cabo, dada la cantidad de información disponible.
Según los cálculos tuiteados por el investigador de seguridad Kevin Beaumont, esto significa que, entre ProxyLogon y ProxyShell, «algo menos del 50 por ciento de los servidores Exchange orientados a Internet» son actualmente vulnerables a la explotación, según una búsqueda en Shodan.
Herramienta de vulnerabilidad de microsoft exchange
En marzo, vimos cómo se utilizaban múltiples exploits de día cero para atacar servidores Exchange locales, y parece que aún no estamos fuera de peligro. Los que no han aplicado parches desde abril o mayo de julio no están a salvo y todavía podrían ser explotados.
Le recomendamos que actualice al último parche de seguridad, que vigile los nuevos indicadores de peligro y que se mantenga al día de la nueva información que se publique. Seguiremos actualizando este post con nuevos hallazgos.
Curiosamente, el tiempo de modificación de algunos de estos archivos de configuración y las correspondientes webshells se remontan a marzo, abril, junio o julio, todo ello antes de la cronología de ProxyShell. No podemos afirmarlo definitivamente, pero es razonable suponer que se trata de restos de ProxyLogon, de marzo. Además, ninguna de estas «antiguas» rutas de webshell utiliza los nombres de subcarpetas que habíamos visto anteriormente: WHO, XYZ, ZING, ZOO, etc.
Tanto si está parcheado como si no lo está, tanto si está afectado por ProxyLogon como por ProxyShell, le recomendamos encarecidamente que busque en estos archivos de configuración indicadores de webshells ocultas. Si descubre nuevas ubicaciones de webshell referenciadas, asegúrese de comprobar la misma estructura de directorios y el mismo archivo de webshell en C:\NUsers\NAll Users.
Vulnerabilidad de exchange office 365
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. advierte de los intentos de explotación activos que aprovechan la última línea de vulnerabilidades «ProxyShell» de Microsoft Exchange que fueron parcheadas a principios de mayo, incluyendo el despliegue del ransomware LockFile en los sistemas comprometidos.
Identificadas como CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207, las vulnerabilidades permiten a los adversarios eludir los controles ACL y elevar los privilegios en el backend de Exchange PowerShell, lo que permite al atacante ejecutar código remoto sin autenticación. Mientras que las dos primeras fueron abordadas por Microsoft el 13 de abril, un parche para CVE-2021-31207 fue enviado como parte de las actualizaciones del martes de parches de mayo del fabricante de Windows.
La novedad llega poco más de una semana después de que los investigadores de ciberseguridad dieran la voz de alarma sobre el escaneo oportunista y la explotación de servidores Exchange no parcheados aprovechando la cadena de ataque ProxyShell.
Demostrado originalmente en el concurso de hacking Pwn2Own en abril de este año, ProxyShell forma parte de un trío más amplio de cadenas de exploits descubiertas por el investigador de seguridad de DEVCORE Orange Tsai que incluye ProxyLogon y ProxyOracle, este último relacionado con dos fallos de ejecución remota de código que podrían emplearse para recuperar la contraseña de un usuario en formato de texto plano.
Vulnerabilidad de github exchange
Una nueva oleada de ataques contra Microsoft Exchange tiene a los funcionarios de ciberseguridad del gobierno en guardia ante una posible repetición del caos que los hackers provocaron a principios de este año al explotar diferentes vulnerabilidades en el popular servidor de correo del lugar de trabajo.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras del Departamento de Seguridad Nacional emitió el sábado una advertencia urgente de que los ciberdelincuentes están explotando activamente vulnerabilidades de hace meses en el ProxyShell de Microsoft.
La CISA recomendó a los clientes que actualizaran sus sistemas utilizando los parches de software que Microsoft publicó en mayo para solucionar las vulnerabilidades. El Director de Ciberseguridad de la Agencia Nacional de Seguridad, Rob Joyce, también instó a las empresas a aplicar parches contra las vulnerabilidades.
Huntress Lab, que fue el primero en informar sobre el aumento de los ataques, informó de un total de 300 servidores comprometidos hasta el lunes. Las organizaciones identificadas por Huntress incluyen procesadores de mariscos, maquinaria industrial, talleres de reparación de automóviles, consultorios dentales y de abogados y otros.
Los servidores de Microsoft Exchange son un objetivo muy valioso para los piratas informáticos, tanto de los estados como de los delincuentes, que buscan realizar actividades de espionaje y distribuir programas maliciosos. Decenas de miles de empresas privadas, gobiernos y organizaciones sin ánimo de lucro de todo el mundo utilizan esta tecnología.
