Hasta y posiblemente más del 50% de los servidores de Microsoft Exchange ubicados en el Reino Unido parecen ser vulnerables a tres vulnerabilidades distintas que fueron parcheadas hace algún tiempo, pero que ahora están siendo explotadas activamente en los llamados ataques ProxyShell luego de la divulgación de vulnerabilidades técnicas. en Black Hat USA por el hacker Orange Tsai.
Según Sky News, además de muchos miles de empresas, las organizaciones en riesgo en el Reino Unido incluyen organismos gubernamentales y fuerzas policiales. Los tres errores son, respectivamente, CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207.
Los analistas de Huntress Security explicaron que el ataque encadena las vulnerabilidades, lo que le da al atacante la capacidad de realizar una ejecución remota de código (RCE) no autenticado. John Hammond de Huntress dijo que había identificado casi 2.000 servidores vulnerables, aunque esto ha disminuido en los últimos días. Dijo que el recuento de servidores e informes comprometidos de la empresa ahora es de alrededor de 300.
“Estamos empezando a ver un comportamiento posterior a la explotación que consiste en mineros de monedas, parece ser WannaMine, y ransomware, LockFile, y seguimos instando a las organizaciones a que apliquen parches”, dijo Hammond.
“Estamos examinando archivos de registro de Exchange de servidores comprometidos y hemos visto un puñado de direcciones IP interactuando con shells web para su posterior explotación. La mayoría de estos incluyen un agente de usuario (solicitudes de python) que indica que esto está automatizado, mientras que otros incluyen un navegador web tradicional que indica que han realizado alguna interacción manual.
“Huntress continuará compartiendo nueva inteligencia de amenazas e indicadores de compromiso a medida que lo encontremos en nuestra propia publicación de blog y en el hilo público de Reddit”, agregó.
Claire Tills, ingeniera de investigación senior de Tenable, dijo que los actores malintencionados habrían comenzado a escanear Internet en busca de servidores vulnerables tan pronto como Tsai entregó su presentación, y dada la “popularidad” de las vulnerabilidades recientes de ProxyLogon, también reveladas por Tsai al principio, explotación. era inevitable.
“Es probable que estas vulnerabilidades sean populares debido a la ubicuidad de Microsoft Exchange: los actores de amenazas saben que tienen un mayor potencial de ataques exitosos si se dirigen a servicios como este. El éxito anterior de los ataques aprovechando ProxyLogon también atrae a los atacantes a ProxyShell, confiando en ataques y tácticas que se sabe que funcionan ”, dijo.
Fallo de comunicaciones en caso de crisis
Sin embargo, los problemas no deben tomarse como una acusación directa de cualquier falla en el parche por parte de los usuarios en riesgo, sino como una aparente falla de comunicación de la propia Microsoft.
En el momento de escribir este artículo, los hechos conocidos de este caso parecen mostrar que, si bien Microsoft parcheó las dos primeras vulnerabilidades en abril de 2021, no las reveló ni asignó números CVE (Vulnerabilidad y exposición común) hasta julio. La tercera vulnerabilidad fue parcheada y revelada en una actualización de mayo.
Esto significa que muchos usuarios, sin tener la culpa, hubieran creído que la actualización inicial era trivial y no la hubieran aplicado, cuando en realidad ahora se ha demostrado que las vulnerabilidades son mucho más graves. El investigador de seguridad Kevin Beaumont, que ha estado rastreando ProxyShell desde que se reveló por primera vez, describió los mensajes de Microsoft sobre los ataques, que describió como peores que ProxyLogon, como “a sabiendas y horribles”.
Oz Alashe, CEO y fundador de CybSafe, estuvo de acuerdo en que la respuesta a ProxyShell dejaba mucho que desear. “La falta de acciones de remediación luego de la exposición de estas vulnerabilidades debe ser una lección sobre la importancia de la mensajería y los comportamientos de seguridad vigilantes”, dijo.
“Estas lagunas en nuestras defensas siempre surgirán, pero lo que importa es la rapidez y claridad de la respuesta. Cualquier ambigüedad puede llevar a que no se implementen actualizaciones de software vitales y dejar a las organizaciones expuestas a actores maliciosos y ataques de ransomware.
“Con Gov.uk y Police.uk entre los dominios que aún no tienen la actualización necesaria del servidor de correo electrónico de Microsoft, las consecuencias de no abordar estas vulnerabilidades son claras”, dijo Alashe. “Mantener el software actualizado es una forma simple pero muy eficaz de reducir nuestro riesgo cibernético, y las organizaciones deben asegurarse de transmitir su importancia con rapidez y claridad”.
El jefe de tecnología de Veritas para el Reino Unido e Irlanda, Ian Wood, agregó: “La mayoría de los administradores de TI odian los parches tanto como los usuarios finales odian las actualizaciones de software para sus dispositivos: a veces no se instalan correctamente, a veces rompen cosas y con frecuencia son simplemente disruptivos.
“Además, y lo que puede ser más problemático, requieren una comprensión profunda de lo que se necesita parchear, dónde y cuándo. A medida que más ataques de ransomware conducen al descubrimiento de más vulnerabilidades y, a su vez, a la creación de más parches, es fácil que todo se salga de control. No es de extrañar entonces que tantos sistemas no estén completamente parcheados “.