Así tratan de explotar los ciberdelincuentes las últimas vulnerabilidades de Exchange

Recomendados:  Protección avanzada de datos y continuidad de negocio con Nutanix y Veeam Webinar Transacciones electrónicas europeas: cumpliendo con eIDAS Webinar

Expertos en ciberseguridad de todo el mundo están realizando grandes esfuerzos de prevención para combatir a los cibercriminales que producen exploits para aprovechar las debilidades de Microsoft Exchange. Y no es para menos dado que los intentos de explotar las vulnerabilidades encontradas en el servidor Exchange van en aumento, Check Point ha registrado cientos de intentos de explotación de vulnerabilidades contra empresas de todo el mundo relacionados con las cuatro vulnerabilidades Zero-days que actualmente afectan a Microsoft Exchange Server. En un comunicado emitido el viernes, su división de Inteligencia de Amenazas firma indicaba que el número de intentos de explotación en las empresas que rastrea se duplican cada dos o tres horas.

De todas las empresas atacadas, el 17% proceden del sector público y militar y un 14% del sector industrial. Desde el punto de vista geográfico, el país más atacado resultó ser Turquía (19%), seguido de Estados Unidos (18%) e Italia (10%).

Las vulnerabilidades críticas
A principios de marzo, Microsoft publicó un parche de emergencia para Exchange Server, el servidor de correo más popular del mundo, ya que todos los correos electrónicos entrantes y salientes, las invitaciones del calendario y prácticamente cualquier cosa a la que se acceda dentro de Outlook pasa por el servidor Exchange.

Estas son las vulnerabilidades:

- CVE-2021-26855: es una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Exchange que permite al ciberdelincuente enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.

- CVE-2021-26857: es una vulnerabilidad de deserialización insegura en el servicio de Mensajería Unificada. La deserialización insegura es cuando los datos no confiables controlados por el usuario son deserializados por un programa. La explotación de esta vulnerabilidad da a Hafnium la capacidad de ejecutar código como SYSTEM en el servidor Exchange. Esto requiere el permiso del administrador u otra vulnerabilidad para explotarla.

- CVE-2021-26858: es una vulnerabilidad de escritura arbitraria de archivos después de la autenticación en Exchange. Si Hafnium pudiera autenticarse en el servidor Exchange, podría utilizar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podrían autenticarse explotando la vulnerabilidad CVE-2021-26855 SSRF o comprometiendo las credenciales de un administrador legítimo.

- CVE-2021-27065: es una vulnerabilidad de escritura arbitraria de archivos posterior a la autenticación en Exchange. Si Hafnium pudiera autenticarse con el servidor Exchange, podría utilizar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podrían autenticarse explotando la vulnerabilidad CVE-2021-26855 SSRF o comprometiendo las credenciales de un administrador legítimo.

Señala Según Eusebio Nieva, director técnico de Check Point para España y Portugal, “aunque el ciberataque al servidor Exchange Zero Days es bastante impactante, aún se desconoce el propósito de este y lo que buscaban los ciberdelincuentes dentro de la red. Las empresas que se encuentren en situación de riesgo no sólo deben tomar medidas preventivas en su Exchange, sino también escanear sus redes en busca de amenazas reales y evaluar todos los equipos”, concluye Nieva.