CIBERTIPS Y NOTICIAS DE CIBERSEGURIDAD

Información para todos

Hackers chinos comprometen miles de implementaciones de Microsoft Excange

Una alerta de seguridad publicada por Microsoft menciona que un grupo de actores de amenazas chinos está desplegando una campaña de ciberespionaje a través de múltiples exploits día cero para servidores Microsoft Exchange. Esta alerta incluye el lanzamiento de parches de seguridad de emergencia para mitigar el riesgo de explotación.

La compañía tecnológica atribuye este incidente a un grupo de hacking auspiciado por el gobierno chino conocido como HAFNIUM, operando desde servidores privados virtuales alojados en E.U. Este grupo de hacking ha estado involucrado en múltiples incidentes detectados en bufetes legales, instituciones académicas, contratistas de defensa e incluso organizaciones no gubernamentales.

Microsoft asegura que los actores de amenazas encadenaron cuatro vulnerabilidades día cero dirigidas a Exchange Server (Outlook Web App). Esta falla habría expuesto a los usuarios de Exchange a ataques de ejecución remota de código sin requerir de autenticación. El reporte también señala las vulnerabilidades explotadas por los hackers:

CVE-2021-26855: Esta vulnerabilidad de falsificación de solicitudes del lado del servidor en Exchange permite a los atacantes enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange

CVE-2021-26857: Esta falla de deserialización insegura en el servicio de mensajería unificada permite a los hackers maliciosos ejecutar código en el servidor Exchange como SYSTEM, lo que requiere permisos de administrador y el uso de otra vulnerabilidad

CVE-2021-26858: Esta es una falla de escritura de archivos arbitrarios posterior a la autenticación en Exchange. Si HAFNIUM pudiera autenticarse con el servidor de Exchange, entonces podrían usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor

CVE-2021-27065: Esta falla de escritura de archivos arbitrarios posterior a la autenticación en Exchange permitiría a los actores de amenazas autenticarse en el sistema objetivo explotando la vulnerabilidad CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo

El compromiso de los sistemas expuestos se lleva a cabo en tres etapas: en primer lugar, los hackers obtuvieron acceso a un servidor Exchange. Posteriormente, los atacantes crearon un shell web para controlar el servidor comprometido remotamente para finalmente abusar de este acceso remoto para interceptar la información del sistema afectado. Los atacantes también pudieron descargar libretas de direcciones sin conexión de Exchange de los sistemas comprometidos. Estos documentos contienen información sobre la organización afectada y sus usuarios, agregó Microsoft.

En un reporte separado, Microsoft menciona que HAFNIUM también ha apuntado contra los usuarios de la suite Office 365: “A pesar de que los ataques exitosos no son muy comunes, esta actividad de reconocimiento ayuda a los actores de amenazas a identificar de forma más detallada las configuraciones de los entornos analizados y eventualmente lanzar ataques más precisos.”

 

Créditos: Alisa Esage

Tags:

Cursos Online

-Compartir en redes-

Plataforma de capacitación

 

Nosotros

Somos una organización 100% MEXICANA cuyo objetivo es asesorar a las organizaciones en las mejores
prácticas de seguridad de la información.

AVISO DE PRIVACIDAD

Contacto

email: contacto@ameci.org

Ciudad de México, 06140

Calle Tamaulipas, Colonia Condesa

México, CDMX

Canal AMECI en Telegram