Los atacantes explotan nuevas vulnerabilidades de día cero en Exchange Server

Contenido

GTS Coalition, una empresa de seguridad cibernética vietnamita, descubrió recientemente dos nuevas vulnerabilidades ProxyLogon RCE de día cero (también conocidas como NotProxyShell) en los servidores de Microsoft Exchange. Los defectos se identifican como CVE-2022-41040 y CVE-2022-41082 con puntuaciones CVSS de 8,8 y 6,3, respectivamente. Estas son similares a las vulnerabilidades de ProxyLogon identificadas hace dos años (en marzo de 2020) que fueron ampliamente explotadas por un grupo de amenazas, conocido popularmente como Hafnium.

Microsoft también ha confirmado las vulnerabilidades y tiene conocimiento de ataques limitados a los servidores de Exchange. Estas nuevas vulnerabilidades afectaron principalmente a los servidores de Exchange locales en 2019, 2016 y 2013. El gigante del software está trabajando actualmente en las actualizaciones de seguridad y es posible que las publique pronto para corregir las vulnerabilidades. Mientras tanto, lanzaron la versión 2 de la herramienta de mitigación local de Exchange (EOMT.ps1 v2) y pidieron a sus clientes de Exchange que la usen en sus servidores para mitigar las vulnerabilidades de día cero.

En este artículo, analizaremos estas nuevas vulnerabilidades de ProxyLogon de 0 días y cómo proteger los servidores de Exchange de los atacantes que explotan dichas vulnerabilidades.

** ACTUALIZAR 2**

Microsoft lanzó parches para las vulnerabilidades con las actualizaciones de seguridad de noviembre de 2022 la semana pasada. Puede consultar nuestro artículo Errores de vulnerabilidad de ejecución remota de código de Microsoft Exchange y sus correcciones para descargar e instalar las actualizaciones.

**ACTUALIZAR 1**

Microsoft lanzó ayer actualizaciones de octubre de 2022 en Martes de parches para arreglar las 84 vulnerabilidades en Windows. Sin embargo, aún no han lanzado un parche para las dos vulnerabilidades de NotProxyShell descubiertas recientemente.

Si bien Microsoft todavía está trabajando en los parches de seguridad, han surgido nuevos informes de abuso de errores de día cero. Según los informes de investigación de Microsoft, los atacantes que piratearon los servidores de Exchange al explotar los errores de día cero CVE-2022-41040 y CVE-2022-41082 están implementando el ransomware Lockbit 3.0 en los servidores afectados.

Los investigadores de la empresa de seguridad cibernética de Corea del Sur AhnLab descubrieron uno de esos incidentes en julio de 2022 en el que los atacantes utilizaron un shell web previamente implementado en un servidor de Exchange comprometido y escalaron los privilegios a Active Directory. adminy robó aproximadamente 1,3 TB de datos. También encriptaron sus sistemas de red.

Señalaron que existe la posibilidad de que los atacantes hayan utilizado las vulnerabilidades CVE-2022-41040 y CVE-2022-41082 (NotProxyShell).

Phil Neray, vicepresidente de Estrategia de Defensa Cibernética de CardinalOps, dijo: “La pandilla LockBit es ahora la pandilla de ransomware número 1 en todo el mundo, y con la nueva versión de LockBit 3.0, también conocida como ‘LockBit Black’, están ofreciendo funciones avanzadas como como deshabilitar Microsoft Windows Defender para evadir la detección y un programa de recompensas por errores que paga a los investigadores para enviar informes de seguridad por recompensas que oscilan entre $ 1,000 y $ 1 millón “.

¿Cómo aprovechan los atacantes las dos nuevas vulnerabilidades de ProxyLogon de día cero?

CVE-2022-41040 es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF), mientras que CVE-2022-41082 es una vulnerabilidad de ejecución remota de código (RCE). Estas vulnerabilidades de elevación de privilegios de Microsoft Exchange Server se pueden explotar individualmente o en conjunto. Según Microsoft, la falla CVE-2022-41040 permite que un atacante autenticado active de forma remota CVE-2022-41082.

Los atacantes están explotando estas vulnerabilidades para obtener acceso a Exchange PowerShell y comprometer la red o los dispositivos. El siguiente diagrama representa cómo los atacantes aprovechan las dos vulnerabilidades de día cero para atacar los servidores de Exchange.

¿Cómo proteger sus servidores Exchange?

Puede tomar las siguientes medidas compartidas por Microsoft para proteger los servidores Exchange de los atacantes.

Además de estas medidas, Microsoft también ha recomendado ejecutar el script de PowerShell EOMTv2.ps1 para mitigar los riesgos y romper o bloquear las cadenas de ataque actuales.

Siga estos pasos para ejecutar el script EOMTv2.ps1 en su servidor para mitigar los riesgos.

Paso 1: Descargue el script EOMTv2.ps1

Descargar el EOMTv2.ps1 Script de PowerShell en la función de servidor de acceso de cliente de Exchange 2013, la función de buzón de Exchange 2016 o la función de buzón de Exchange 2019. Además, asegúrese de que el servidor cumpla con los siguientes requisitos para ejecutar el script.

  • PowerShell 3 o posterior
  • IIS 7.5 y posterior
  • Instalar KB2999226 actualice si el servidor se ejecuta en un sistema operativo anterior a Windows Server 2016 para que funcione el Módulo de reescritura de IIS 2.1.

Paso 2: Ejecute el script de PowerShell

Después de descargar el script EOMTv2.ps1, abra PowerShell como administrador y use el discos compactos Comando para cambiar la ubicación donde se descarga y almacena EOMTv2.ps1.

cd

Luego ejecute el siguiente comando para ejecutar el script.

.EOMTv2.ps1

Nota: Debe ejecutar el script en todos los servidores de Exchange individualmente.

La última versión del script de PowerShell EOMTv2.ps1 aplica la mitigación de reescritura de URL. Si el módulo de reescritura de URL de IIS aún no está instalado, el script detecta, descarga e instala automáticamente el módulo.

¿Cómo detectar si el servidor está comprometido?

Busque los indicadores de compromiso (IOC), tales como:

  • Posible instalación de shell web
  • Posible shell web de IIS
  • Ejecución de proceso de intercambio sospechoso
  • Posible explotación de vulnerabilidades de Exchange Server (requiere que Exchange AMSI esté habilitado)
  • Procesos sospechosos indicativos de un shell web
  • Posible compromiso de IIS

Microsoft Defender Antivirus actualmente detecta el malware posterior a la explotación que se usa en la naturaleza. Por lo tanto, puede usarlo para detectar el malware web shell que se está utilizando. Debería ver las siguientes alertas u otras similares:

Se detectó malware ‘Chopper’ en un servidor web IIS o Se detectó el malware de alta gravedad ‘Chopper’.

Si hay algún indicador, debe desconectar el servidor de la red, configurar un nuevo servidor y restaurar las bases de datos en el nuevo servidor mediante el software de copia de seguridad o de recuperación de Exchange.

Una herramienta de recuperación del servidor de Exchange, como Stellar Repair for Exchange, resulta útil cuando la copia de seguridad no está disponible, está obsoleta o no puede restaurar las bases de datos y los buzones necesarios. El software ayuda a los administradores a reparar las bases de datos que se dañan debido a caídas del servidor, cortes de energía o ataques. Extrae los buzones de las bases de datos de Exchange Server comprometidas y los guarda en PST. También puede exportar los buzones recuperados de las bases de datos del servidor comprometido directamente a un servidor Exchange activo o Office 365. Funciona con MS Exchange 2019, 2016, 2013 y versiones anteriores.

Para concluir

Las nuevas vulnerabilidades de ProxyLogon son como un déjà vu para muchos administradores que experimentaron y abordaron vulnerabilidades y ataques similares en marzo de 2020. En ese momento, muchos actores de amenazas patrocinados por el estado y con motivación financiera comprometieron miles de servidores Exchange vulnerables en los EE. UU. y otros países. a través de varias industrias. Para evitar este tipo de ataques masivos y proteger sus servidores Exchange, siga los pasos y las soluciones que se comparten en este artículo. Al garantizar técnicas efectivas de defensa y copia de seguridad, puede proteger sus servidores Exchange de tales ataques.

Related Posts