MICROSOFT EXCHANGE: ¡Nuevos Zero-Day están siendo explotados!

Una nueva vulnerabilidad crítica de MS Exchange (2013, 2016 y 2019) está siendo explotada activamente por actores maliciosos, los cuales mediante dos vulnerabilidades Zero-Day permiten acceder al servidor de correo electrónico para cargar backdoors para posterior movimiento lateral y webshells que luego son utilizadas para ejecutar comandos de forma remota. Si bien aún no cuenta con  parche oficial distribuido por la marca, existen medidas mitigatorias para prevenir este ataque, las cuales deben ser aplicadas sobre la última actualización disponible.

• CVE-2022-41040, es una falsificación de petición del lado del servidor (SSRF)
• CVE-2022-41082, permite la ejecución remota de código (RCE) cuando PowerShell es accesible al atacante. 

Es ampliamente conocido que el servicio de correo electrónico de Microsoft es utilizado alrededor del mundo, por lo que ha sido blanco de múltiples ataques en el último tiempo que lo han llevado a ser un elemento crítico dentro de la seguridad de la organización. La data ahí alojada suele tener un alto valor para las organizaciones sabiendo que, esta es una vía oficial para comunicaciones internas de diferente criticidad, en donde además podemos encontrar un completo registro de las direcciones de correo de los colaboradores que allí prestan servicios que pudiesen ser utilizados posteriormente para comunicaciones fraudulentas o entrega de cargas útiles maliciosas mediante el ya conocido phishing.

Además de lo anterior, es altamente factible que actores de amenazas creen cuentas de usuarios nuevas en donde tengan su propio acceso al servidor y no mediante la utilización de cuentas de terceros, lo que podría ser utilizado para evasión de detección.

No es la primera vez que surge este tipo de vulnerabilidades en servidores MS Exchange, ya que aún se encuentra en la retina ProxyShell publicada durante 2021 y que ha logrado comprometer a diferentes organizaciones de diferente criticidad como los ya conocidos casos de naciones afectadas por el grupo de ciber actores Guacamaya quienes han aprovechado esta brecha de seguridad para llevar a cabo operaciones de hacktivismo.

Las nuevas vulnerabilidades han sido identificadas como ZDI-CAN-18333 y ZDI-CAN-18802, registradas por el sitio Zero Day Initiative a comienzos del mes de septiembre pero que sin embargo, aún no contaban con registros de su explotación activa hasta ahora, por ende tampoco se había trabajado en medidas mitigatorias ni parches.

Esta vulnerabilidad es bastante parecida a la ejecución del ya conocido ProxyShell y se ejecuta por una consulta similar, permitiendo la ejecución de código remoto para Instalar una una webshell que permita continuar con las siguientes fases del ataque, las cuales no han sido detalladas por sus descubridores para evitar así una explotación aún mayor, hasta que Microsoft lance la mitigación oficial

Ejecución de RCE:

WebShell ofuscada:

De acuerdo al análisis realizado por los investigadores se detecta que en la siguiente línea de ejecución evidencia que la codificación del texto bajo el número “936” corresponde a Chino Simplificado, lo cual da luces desde donde se estaría explotando esta vulnerabilidad.

Además uno de los cambios que estarían realizando los atacantes para pasar desapercibidos es modificar el contenido de archivo válido Exchange para alojar una webshell, como por ejemplo:

Por otra parte, investigadores han detectado además que estas cargas maliciosas han sido utilizadas con un User Agent Antsword, el cual corresponde a una herramienta Open Source de administración de sitios web basada en China que admite la gestión de webshell.

Además se ha identificado que actores maliciosos utilizan webshell de código abierto como SharPyShell para llevar a cabo sus operaciones.

• https://github.com/antonioCoco/SharPyShell

Con todos estos antecedentes, los atacantes luego realizan la carga de .dll´s maliciosas en el servidor, que permiten el volcado y exfiltración de credenciales junto a la ejecución de CMD para ejecución de comandos

Entre las víctimas analizadas por investigadores, se pudieron identificar las siguientes URI donde se estarían alojando las webshell maliciosas.

Caso 1:

Caso 2:

Desde la compañía que realizó el hallazgo se detallan las siguientes medidas mitigatorias mientras Microsoft publica un parche  oficial, cabe destacar que estas medidas han sido respaldadas por Microsoft y han sido entregadas de forma oficial a la comunidad mencionando que no afectan la funcionalidad de Exchange.

• https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

Es imperante que antes de tomar estas medidas sus servidores se encuentren en la última versión disponible

La mitigación actual es añadir una regla de bloqueo en "IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions" para bloquear los patrones de ataque conocidos. 

1. Abra el Administrador de IIS. 
2. Despliegue el sitio web predeterminado. 
3. Seleccione Autodiscover. 
4. En la vista de características, haga clic en Reescritura de URL. 
   
   
    
5. En el panel de Acciones de la derecha, haga clic en Añadir Reglas.  
   
   
    
6. Seleccione Bloqueo de solicitudes y haga clic en Aceptar. 
   
   
    
7. Añada la cadena  y haga clic en Aceptar. 
   
   
    
8. Expanda la regla y seleccione la regla con el patrón y haga clic en Editar en Condiciones. 
   
   
    
9. Cambie la entrada de la condición de {URL} a {REQUEST_URI}. 
   
   

Actualmente los investigadores que han identificado esta vulnerabilidad han liberado dos métodos de revisión de afectación, en donde uno corresponde a la ejecución de una verificación por medio de powershell, mientras que la segunda opción corresponde a una herramienta desarrollada por ellos mismos que podría facilitar la detección, sin embargo, esta no se ha testeado ni se conoce el real funcionamiento de ella, por lo que de momento se comparte solo el método manual hasta tener certeza de los resultados de la segunda opción.

Para esto se analizan los registros de IIS almacenados por defecto en la carpeta   con el siguiente comando:

Durante  marzo de 2021 se publicó una serie de vulnerabilidades día cero de microsoft exchange que ha llevado a comprometer una gran cantidad de organizaciones alrededor del mundo, entre ellas instituciones gubernamentales como ha sido el reciente caso de Chile.

Estos conjuntos de vulnerabilidades no fueron identificadas a la par si no que de forma parcializada por lo cual fueron catalogadas bajo los nombres ProxyLogon, ProxyOracle y ProxyShell para su mejor identificación, en donde todas permiten una fácil explotación de los servidores.

Microsoft lanzó cuatro actualizaciones de seguridad fuera de lo acostumbrado el 2 de marzo de 2021. Las actualizaciones consideraban cuatro vulnerabilidades graves, que combinadas permiten acceso completo al servidor

• CVE-2021-26855
• CVE-2021-26857
• CVE-2021-26858
• CVE-2021-27065

Un combo de recuperación de contraseña en texto plano, cuya explotación exitosa podría resultar en que un atacante capture contraseñas y ejecute código arbitrario en instancias de Microsoft Exchange Server a través del puerto 443.

• CVE-2021-31195 
• CVE-2021-31196

Un conjunto de vulnerabilidades que afectan a los servidores Microsoft Exchange llamadas en su conjunto proxyshell, a las que además se le ha sumado CVE-2021-31206 evidenciada su utilización como complemento a la explotación.

• CVE-2021-34473
• CVE-2021-34523
• CVE-2021-31207
• CVE-2021-31206

Es importante recalcar que pese a la alta criticidad de estas vulnerabilidades y la facilidad de explotación aún existe un gran número de servidores vulnerables, los que a su vez serían vulnerables a los nuevos CVE descubiertos durante 2022 descritos al inicio de este reporte.

Para mayores antecedentes se pueden revisar boletines publicados con anterioridad:

• ProxyToken: el nuevo exploit dirigido a servidores Exchange que aún no se han actualizado

• Actualización de panorama vulnerabilidad ProxyShell

• Microsoft Exchange Server como High Value Target: Parchear es la mejor defensa

• Microsoft parchea otros cuatro errores críticos de Exchange Server en su Patch Tuesday de Abril 2021

Como es costumbre, Microsoft publica mensualmente diversos parches de seguridad para sus aplicativos, no obstante, a nivel global se ha logrado evidenciar lo que hemos predicho durante los últimos años:

1. Entendiendo que menos del 17% de las vulnerabilidades se corrigen dentro de los 7 días posteriores a la notificación por parte de las marcas, nos gustaría recalcar que si las organizaciones continúan con políticas de parcheado inmaduras u obsoletas y no dan prioridad a estos procesos de seguridad, continuaremos evidenciando organizaciones sin la capacidad de solventar las operaciones de sus negocios por presentar disrupciones en sus quehaceres, lo cual en algunos casos puede llevarlas a desaparecer.
    
2. Lamentablemente, las estadísticas han demostrado un escenario favorable para la facilidad de explotación de los sistemas en Chile. Menos del 39% de las empresas tienen políticas maduras para el parcheado de su infraestructura. Por este motivo, es clave para las empresas proteger adecuadamente estos servidores.

Adicionalmente también se han detectado grupos de amenaza sofisticados explotando estas vulnerabilidades para propagar sus malware o Ransomware cómo ha sido el caso de Hive Ransomware y APT Mosses Staff como se ha descrito en los siguientes boletines.

También un nuevo actor que ha estado aprovechando estos servidores desactualizados es el grupo Guacamaya con motivaciones completamente hacktivistas

Hive y proxyshell

• Servidores MS Exchange son comprometidos por Ransomware Hive

Mosses staff

• Herramienta utilizada por Moses Staff presente en Chile

Cabe destacar que Microsoft Exchange Server, ha sido durante mucho tiempo un objetivo para los ciberactores esto dado a que los servidores de correo corporativos almacenan información crítica y privilegiada.

Debido a la severidad que poseen este conjunto de vulnerabilidades podemos indicar que representan un riesgo “crítico” para su infraestructura expuesta. De no aplicar parches o medidas mitigatorias correspondientes, permitirían a terceros: el acceso, elevación de privilegios y ejecución de códigos de forma remota evadiendo autenticación en servidores vulnerables, afectando directamente a la confidencialidad de la organización y de forma latente a la integridad y disponibilidad de la misma.

Todas las vulnerabilidades anteriormente descritas han resultado afectaciones críticas para la confidencialidad de la información de los servidores Exchanges, los cuales al ser servicios distribuidos por Microsoft resultan con un amplio uso en el mundo por organizaciones de todo tipo de tamaño y madurez. Esto permite a atacantes contar con una superficie de ataque altamente extendida en donde muchas de estas organizaciones no cuentan con políticas adecuadas para la prevención de estas vulnerabilidades, ya sea: por no contar con la madurez necesaria, por no contar con los recursos necesarios para mantener un soporte activo, porque altos directivos no comprenden adecuadamente la criticidad de estas vulnerabilidades o porque la burocracia para realizar cambios resulta en que las acciones mitigatorias se toman de forma tardía con un perfil más reactivo que preventivo.

Ante estos antecedentes y ante los casos conocidos de organizaciones vulneradas por  explotaciones de vulnerabilidades “Proxy….”  es esperable que estos nuevos Zero-Day continuen causando estragos en las organizaciones por un largo tiempo, ya que si aún existen servidores no parchados desde 2021 difícilmente aplicarán medidas para vulnerabilidades de 2022, ya que para solucionar las más recientes es imperante haber aplicado actualizaciones previas, lo cual resulta ser un trabajo “acumulado” que llevará aun mayor tiempo de respuesta.

Como ya se han observado grupos de Ransomware, APT’s y Hacktivismo explotando este tipo de servidores por la criticidad de la información allí contenida, es esperable que este tipo de acciones tomen aún más fuerza durante lo que resta de 2022 e inicios de 2023, por tanto es esperable que las repercusiones de esta afectación perduren por larga data, en donde LATAM no se queda fuera del foco.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Aplicar WorkAround disponibles a la brevedad posible mientras se mantiene a la espera de las actualizaciones oficiales del proveedor.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.