Vulnerabilidades zero-day en Microsoft Exchange

Fecha de publicación: 03/03/2021

Nivel de peligrosidad: CRÍTICO

El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación de varias vulnerabilidades de tipo zero-day en Microsoft Exchange.

Se han hecho públicas varias vulnerabilidades de tipo zero-day que afectan a Microsoft Exchange Server, plataforma de correo electrónico, calendario, contactos, programación y colaboración que está diseñada para permitir a los usuarios acceder desde dispositivos móviles, ordenadores personales y sistemas basados en la web.

Microsoft, ha detectado un grupo APT patrocinado por el estado de China conocido como Hafnium que está explotando estas vulnerabilidades contra organizaciones estadounidenses, desde servidores privados virtuales (VPS) alquilados en Estados Unidos, con el fin de robar información. En una primera versión de la publicación del blog de Microsoft se aseguraba incorrectamente que Hafnium era el único grupo que explotaba estas vulnerabilidades, si bien es cierto, que Hafnium es el grupo de amenazas principal que ha utilizado estas cuatro nuevas vulnerabilidades. La compañía de software tiene constancia que ha podido ser aprovechado por otros grupos de piratas informáticos, sin embargo, Microsoft se negó a decir cuántos ataques exitosos había visto, pero describió el número como limitado.

Por otra parte, la compañía ha informado a las agencias gubernamentales de Estados Unidos sobre sus hallazgos. Se afirma que los ataques de Hafnium no guardan relación con la campaña de espionaje vinculada con SolarWinds contra las agencias federales de Estados Unidos. En los últimos días de la administración Trump, la Agencia de Seguridad Nacional y el FBI dijeron que la campaña de SolarWinds era probablemente de origen ruso.

En total, han sido cuatro vulnerabilidades de día cero, que explotándolas de forma combinada, pueden dar acceso a los servidores de Microsoft Exchange, robar las credenciales de acceso al correo electrónico e introducir malware para aumentar el acceso a la red. A continuación, se muestran las descripciones correspondientes a cada vulnerabilidad con los detalles técnicos conocidos:

• CVE-2021-26855: Vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Exchange que permite al atacante enviar solicitudes HTTP arbitrarias y ejecutarlas en el contexto de privilegio del servicio de Exchange. A partir de esta vulnerabilidad el atacante puede llegar a obtener el control del sistema.
• CVE-2021-26857: Vulnerabilidad de deserialización en el servicio de mensajería unificada implementado en Microsoft Exchange Server. La explotación de esta vulnerabilidad se cree que pudo dar a Hafnium la capacidad de ejecutar código como SYSTEM en el servidor Exchange.
• CVE-2021-26858: Vulnerabilidad que permite al atacante subir ficheros después de conseguir una autenticación aprovechando las vulnerabilidades anteriores. Se puede utilizar este fallo para escribir un archivo en cualquier ruta del servidor, llevar a cabo la subida de Webshell para un control más efectivo del sistema o la ejecución de scripts que permitan múltiples acciones de exfiltración o movimientos laterales entre otros.
• CVE-2021-27065: Vulnerabilidad, que al igual que la anterior, permite al atacante subir ficheros después de conseguir una autenticación aprovechando las vulnerabilidades anteriores. Si se consigue una autenticación válida en el servidor de Exchange se podría escribir un archivo en cualquier ruta del servidor, comprometiendo de esta forma todo el sistema.

La base de datos del NIST ha registrado estas vulnerabilidades, pero por el momento, no se les ha asignado puntuación de acuerdo a la escala CVSSv3. No obstante, Microsoft ha calificado estas cuatro vulnerabilidades con una importancia crítica, debido a que son vulnerabilidades zero-day y se ha detectado que se están explotando activamente.

Después de explotar estas vulnerabilidades para obtener acceso inicial, los operadores de Hafnium implementaron Webshells, interfaces maliciosas que permiten el acceso y el control remotos a un servidor web y permitir la ejecución de comandos arbitrarios en el servidor comprometido. A continuación, se muestra un ejemplo de una Webshell implementada por Hafnium, escrito en ASP.

Imagen 1: Webshell implementada por Hafnium

Después de la implementación de la Webshell, los operadores de Hafnium realizaron varias acciones que se muestran a continuación:

• Volcados de memoria RAM con el objetivo de realizar el robo de hashes o incluso de claves en texto plano en función de los proveedores criptográficos con los que cuente el equipo comprometido. Se utilizó Procdump para volcar la memoria del proceso LSASS.

Imagen 2: Volcado de memoria RAM

• Uso de 7-Zip para comprimir datos robados en archivos ZIP para su exfiltración con un menor consumo de ancho de banda e incluso particionar el contenido entre diferentes ficheros.

Imagen 3: Uso de 7-Zip para comprimir datos

• Agregar y usar complementos de Exchange PowerShell para realizar el volcado de buzones de usuarios mediante la ejecución de comandos de PowerShell y exportar datos del buzón.

Imagen 4: Volcado de buzones de usuarios

• Uso del shell inverso Nishang, colección de scripts y cargas útiles que permite el uso de PowerShell para la seguridad ofensiva, las pruebas de penetración y el red teaming.

Imagen 5: Uso del shell inverso Nishang

• Abrir una conexión a un servidor remoto descargando PowerCat desde GitHub.

Imagen 6: Conexión a un servidor remoto

Hasta la fecha se han identificado determinados ficheros de Webshell. Estos serían los hashes correspondientes a los ficheros detectados:

• b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
• 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
• 2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
• 65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
• 511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
• 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
• 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
• 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944

Las rutas habituales donde se han identificado dichos ficheros de Webshell son:

• C:\inetpub\wwwroot\aspnet_client\
• C:\inetpub\wwwroot\aspnet_client\system_web\
• En rutas de instalación de MS Exchange Server installation paths tales como:
  • %PROGRAMFILES%\Microsoft\Exchange
  • Server\V15\FrontEnd\HttpProxy\owa\auth\
  • C:\Exchange\FrontEnd\HttpProxy\owa\auth\

Estos ficheros podrían tener diferentes nombres y pasarían por ficheros convencionales. A continuación se muestran algunos ejemplos:

• web.aspx
• help.aspx
• document.aspx
• errorEE.aspx
• errorEEE.aspx
• errorEW.aspx
• errorFF.aspx
• healthcheck.aspx
• aspnet_www.aspx
• aspnet_client.aspx
• xx.aspx
• shell.aspx
• aspnet_iisstart.aspx
• one.aspx

En lo referente a la identificación de exploits, Microsoft Windows Defender y Microsoft Defender para EndPoint han sido actualizados con firmas que permitirían detectar la explotación. Debe tomarse en cuenta que algunos de los nombres que se citan a continuación, son ficheros generales (WebShell y aplicaciones que son empleadas por grupos cibercriminales) y no tienen porque coincidir con la campaña relativa a la explotación de las vulnerabilidades a la que se refiere el documento. Los identificadores posible son:

• Exploit:Script/Exmann.A!dha.
• Behavior:Win32/Exmann.A B.
• ackdoor:ASP/SecChecker.A.
• Backdoor:JS/Webshell (empleado en diferentes campañas).
• Trojan:JS/Chopper!dha (empleado en diferentes campañas).
• Behavior:Win32/DumpLsass.A!attk (empleado en diferentes campañas).
• Backdoor:HTML/TwoFaceVar.B (empleado en diferentes campañas).
• Suspicious Exchange UM process creation.
• Suspicious Exchange UM file creation.
• Possible web shell installation (empleado en diferentes campañas).
• Process memory dump (empleado en diferentes campañas)

Recursos afectados:

Las versiones afectadas son las siguientes:

• Microsoft Exchange Server 2013
• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019

Solución a la vulnerabilidades:

Debido a la existencia de exploits activos que hacen uso de estas vulnerabilidades se recomienda la instalación de estas actualizaciones de inmediato para protegerse contra estos ataques:

• Security Update For Exchange Server 2013 CU23
• Security Update For Exchange Server 2016 CU18
• Security Update For Exchange Server 2016 CU19
• Security Update For Exchange Server 2019 CU7
• Security Update For Exchange Server 2019 CU8

Recomendaciones:

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Destacar que otras versiones de MS Exchange Server previas podrían verse afectadas, pero no ha sido confirmado por la compañía ni tampoco han sido publicadas actualizaciones. Por lo tanto, para la versión Exchange Server 2010 (y otras versiones previas), las cuales están fuera de soporte, se recomienda actualizar a una versión soportada o incluso preferiblemente migrar a servicios Cloud como Office 365.

Con el objetivo de identificar posibles ataques o explotaciones empleando las vulnerabilidades publicadas, las organización deberían llevar a cabo ciertas revisiones como la comprobación de la existencia de los ficheros referidos anteriormente o bien a través de la verificación de Hashes.

Sin embargo, el equipo de Microsoft Exchange Server ha publicado una serie de pautas para escanear los archivos de registro de Exchange en busca de indicadores de compromiso:

• CVE-2021-26855: la explotación de esta vulnerabilidad se puede detectar a través de los registros de Exchange HttpProxy que se encuentran en el directorio %PROGRAMFILES%\Microsoft\ExchangeServer\V15\Logging. La explotación se puede identificar buscando entradas de registro donde AuthenticatedUser está vacío y AnchorMailbox contiene el patrón de ServerInfo ~ * / *. A continuación, se muestra un comando de PowerShell de ejemplo para encontrar estas entradas de registro:

  
  Imagen 7: Ejemplo explotación CVE-2021-26855

  Si se detecta actividad, los registros específicos que se encuentran en el directorio %PROGRAMFILES%\Microsoft\ExchangeServer\V15\Logging se pueden utilizar para ayudar a determinar qué acciones se llevaron a cabo.

• CVE-2021-26858: la explotación de esta vulnerabilidad se puede detectar a través de los registros que se encuentran en el directorio C:\Archivos de programa\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog. En caso de explotación, los archivos se descargan a otros directorios o rutas locales. El comando de Windows para buscar una posible explotación es el siguiente: Findstr / snip / c: "Error de descarga y archivo temporal" "% PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ Logging \ OABGeneratorLog \ *. log".

• CVE-2021-26857: la explotación de esta vulnerabilidad se puede detectar a través de los registros de eventos de la aplicación de Windows. La explotación de este error de deserialización creará eventos de aplicación con las siguientes propiedades:
  • EntryType: Error.
  • Fuente: Mensajería unificada de MSExchange.
  • El mensaje de evento contiene: System.InvalidCastException.

  El comando de PowerShell para consultar el registro de eventos de la aplicación para estas entradas de registro es el siguiente:

  Get-EventLog -LogName Aplicación -Fuente “Mensajería unificada de MSExchange” -Error de tipo de entrada | Where-Object {$ _. Mensaje -como “* System.InvalidCastException *”}

• CVE-2021-27065: la explotación de esta vulnerabilidad se puede detectar a través del archivo C: \ Archivos de programa \ Microsoft \ Exchange Server \ V15 \ Logging \ ECP \ Server. Todas las propiedades de Set- VirtualDirectory nunca deben contener un script. InternalUrl y ExternalUrl solo deben ser Uris válidos. A continuación, se muestra un comando de PowerShell para buscar una posible explotación: Select-String -Path “$ env: PROGRAMFILES \ Microsoft \ Exchange Server \ V15 \ Logging \ ECP \ Server \ *. Log” -Pattern 'Set -. + VirtualDirectory'

Referencias:

• Released: March 2021 Exchange Server Security Updates
• Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: March 2, 2021
• Multiple Security Updates Released for Exchange Server
• Microsoft fixes actively exploited Exchange zero-day bugs, patch now

Atentamente,

Equipo CCN-CERT

//////////////////////////////////////////////////////////////////////////////////////////

Alertas CCN-CERT

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

//////////////////////////////////////////////////////////////////////////////////////////

El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es), adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre.

Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes.

Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin.

De acuerdo a esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPIC.

Claves PGP Públicas
---------------------
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. / Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
--------------------
Fingerprint: 2933 AE1E CB92 548D 6515 B11B 88E9 B0C3 F9CC 1235
Descarga
--------------------

/////////////////////////////////////////////////////////////////////////////////////////

POLÍTICA DE PRIVACIDAD:
El 25 de mayo de 2018 entró en vigor el Reglamento de Protección de Datos (RGPD) de la Unión Europea (UE). Dicho Reglamento está diseñado para unificar los requisitos de privacidad de los datos en toda la UE. Desde el Centro Criptológico Nacional siempre hemos prestado la mayor atención y realizado todos los esfuerzos necesarios para mantener la privacidad de nuestros usuarios y suscriptores y, por supuesto, cumplir con la Normativa vigente. Con el objetivo de adecuarnos al RGPD hemos actualizado nuestra política de privacidad para ampliar lo que veníamos haciendo hasta la fecha: otorgar a su información personal el respeto y la seguridad que se merece.

Nos pondremos en contacto con usted cuando dispongamos de información que consideremos que le pueda ser de interés, informándole de contenidos, servicios, eventos, avisos de seguridad o, si procede, gestionar y atender sus solicitudes de información.

Puede encontrar la nueva información y política de privacidad del Centro Criptológico Nacional haciendo click AQUÍ. Por favor, consulte esta información y no dude en ponerse en contacto con nosotros para cualquier aclaración enviándonos un email a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

//////////////////////////////////////////////////////////////////////////////////////////

AVISO DE CONFIDENCIALIDAD:
El presente mensaje va dirigido de manera exclusiva a su destinatario.
Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.