Cuidado: los malos ahora pueden ser dueños de su servidor Exchange OWA

A principio de mes Microsoft reveló que un grupo de hackers con sede en China llamado Hafnium ha estado lanzando un ciberataque contra organizaciones, con el fin de explotar cuatro vulnerabilidades en versiones locales de su software Exchange Server. Los ataques se llevan a cabo en tres pasos, según Microsoft.

En primer lugar, el grupo de hackers puede obtener acceso a un servidor de Exchange mediante el uso de credenciales de cuentas robadas o mediante el uso de vulnerabilidades para hacerse pasar por alguien que debería tener acceso. En segundo lugar, el grupo puede controlar el servidor comprometido de forma remota mediante la creación de un shell web, una pieza de código malicioso que brinda a los atacantes acceso administrativo remoto. En tercer lugar, el grupo utiliza el acceso remoto para robar datos de la red de una organización.

El objetivo principal de Hafnium es extraer información de organizaciones en diferentes industrias, como investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y organizaciones no gubernamentales. Aunque Hafnium está ubicado en China, el grupo ejecuta sus operaciones maliciosas principalmente a través de servidores privados virtuales alquilados en Estados Unidos, dijo Microsoft.

El 2 de marzo, Microsoft lanzó actualizaciones de seguridad de emergencia para mitigar estas vulnerabilidades de seguridad en las versiones de Exchange Server 2013 a 2019. Microsoft ha instado a todas las organizaciones con estas versiones a parchear sus servidores lo antes posible, dando prioridad a los servidores externos.

“Recomendamos encarecidamente a todos los clientes de Exchange Server que apliquen estas actualizaciones de inmediato”, dijo Microsoft en una publicación de su blog . “Exchange Server es utilizado principalmente por clientes comerciales, y no tenemos evidencia de que las actividades de Hafnium estén dirigidas a consumidores individuales o que estos exploits afecten a otros productos de Microsoft. Aunque hemos trabajado rápidamente para implementar una actualización para los exploits de Hafnium, sabemos que muchos de los hackers se moverán rápidamente para aprovechar cualquier sistema sin parche. La aplicación inmediata de los parches es la mejor protección contra este ataque”.

Las organizaciones afectadas también parecen ser aquellas que albergan sus propias instalaciones internas del servicio Outlook en la web (OWA) de Microsoft en lugar de utilizar la versión basada en la nube, según Reuters. 

Aplicar las actualizaciones protegerá a su organización si aún no la han atacado. Pero aquellos que han sido atacados y no lo saben siguen siendo vulnerables a través de servidores infectados y las persistentes web shells que Hafnium puede usar como puerta trasera. Para ayudar a los usuarios de Exchange a saber si han sido atacados, Microsoft recomienda dos acciones específicas:

• Verifique sus niveles de parche de Exchange Server y escanee sus archivos de registro de Exchange en busca de indicadores de compromiso.
• Correr script de Microsoft elaborado con este fin para escanear automáticamente sus servidores Exchange en busca de IOC.