Los ‘días cero’ de Microsoft Exchange Server son explotados libremente

Un actor de amenazas de un estado nacional ha estado explotando las vulnerabilidades de Microsoft durante al menos dos meses.

Microsoft parcheó cuatro vulnerabilidades de día cero que se encontraron en sus versiones locales de Microsoft Exchange Server. Según la publicación del blog de Microsoft que revela los días cero, las vulnerabilidades están siendo explotadas en "ataques limitados y dirigidos" atribuidos a un actor de amenazas patrocinado por el estado chino, al que Microsoft llama Hafnium.

"El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) atribuye esta campaña con gran confianza a HAFNIUM, un grupo evaluado como patrocinado por el estado y que opera fuera de China, según la victimología, las tácticas y los procedimientos observados", se lee en la publicación del blog.

Microsoft reconoció a los proveedores Volexity y Dubex por informar sobre la cadena de ataques y colaborar con el gigante tecnológico. En una publicación de blog, Volexity fechó los ataques al menos en enero de este año.

Las cuatro vulnerabilidades que afectan a las versiones locales de Exchange Server son CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065.

CVE-2021-26855 (CVSS 3.0 puntuación base de 9.1) es una vulnerabilidad de falsificación de solicitudes del lado del servidor; CVE-2021-26857 (CVSS 3.0 puntuación base de 7.8) es una vulnerabilidad de ‘deserialización’ insegura que afecta a la mensajería unificada; y tanto CVE-2021-26858 como CVE-2021-27065 (cada uno tiene una puntuación base CVSS 3.0 de 7.8) son vulnerabilidades de "escritura arbitraria de archivos posteriores a la autenticación".

Según la publicación del blog, Hafnium "se dirige principalmente a entidades en los Estados Unidos en varios sectores industriales, incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONG".

Con respecto a la campaña actual, Microsoft describió las acciones de Hafnium contra las víctimas posteriores a la explotación.

"Después de explotar estas vulnerabilidades para obtener acceso inicial, los operadores de HAFNIUM implementaron shells web en el servidor comprometido. Los shells web potencialmente permiten a los atacantes robar datos y realizar acciones maliciosas adicionales que conducen a un mayor compromiso", se lee. La publicación del blog también incluyó más información técnica, así como indicadores de compromiso.

Al momento de que los editores de SearchSecurity publicaran esta nota, Microsoft no había dado más informes sobre un recuento estimado de víctimas.

Tanto la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) como la Agencia de Seguridad Nacional (NSA) aconsejaron la aplicación inmediata de parches en los avisos enviados a través de sus cuentas de Twitter.

Los actores de amenazas de Estado-nación chino siguen siendo una amenaza constante. Una APT china fue identificada recientemente por clonar y usar un arma cibernética del gobierno de los EE.UU. contra sus objetivos y, según los informes, otro grupo de estado-nación chino ha estado apuntando a la infraestructura energética crítica de la India.