Nuevas técnicas de ataques dirigidas a MS Exchange

El año 2021 y 2022 ha estado marcado por vulnerabilidades críticas de MS Exchange que podrían permitir a actores de amenazas el acceso a información confidencial para diferentes fines, tanto para el despliegue de ransomware  como para la divulgación de la  información como ha sido el emblemático caso de Guacamaya en LATAM

Ante estos antecedentes, múltiples actores de amenaza como Play ransomware y Fin7 han dirigido sus esfuerzos en vulnerar este servicio y que si bien no se han identificado vulnerabilidades Zero-Day, han aplicado CVE conocidos para lograr sus objetivos generando el menor grado de detección posible.

OWASSRF [Outlook Web Aplication Server Side Request Forgery]

Recientemente investigadores de CrowdStrike han realizado un análisis a un nuevo metodo de explotacion a servidores Exchange y que pese a ser similar a ProxyNotShell  carece de consistencia ya que la nueva técnica permite generar un Bypass a las mitigaciones oficiales entregadas por Microsoft para este conjunto de vulnerabilidades y ha permitido que actores de amenaza la utilicen para sus operaciones.

Las vulnerabilidades vinculadas a ProxyNotShell son en primera instancia el uso de CVE-2022-41080 (FrontEnd) y posteriormente CVE-2022-41082 (BackEnd), Sin embargo, mediante el análisis de investigadores se ha logrado identificar que el primer acceso está dado por CVE-2022-41040 (FrontEnd) el cual en vez de generar una elevación de privilegios, realiza un SSRF (Server side request forgery).

Ilustración 1 - Vector de ataque por CVE
Fuente: https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/

Este método de explotación ha levantado las alarmas y ha llevado a investigadores a revisar los eventos de las víctimas debido a que recientemente se han evidenciado al actor de amenaza Play Ransomware realizando gran cantidad de ataques utilizando un vector de entrada mediante Exchange pero que hasta el momento no se conocían detalles de cómo se realizaba.

Adicionalmente, mediante un tweet de un investigador, se ha dado con un repositorio que dispone de un kit de herramientas utilizadas por operadores de ransomware para sus operaciones y que si bien ya no permanece disponible, dicho usuario ha realizado una descarga de los mismos para posteriormente disponerlos al público para su análisis.

Tweet de hallazgo:

Ilustración 1 - Tweet del Hallazgo
Fuente: https://twitter.com/Purp1eW0lf/status/1602989967776808961?s=20

Es importante destacar que el hallazgo de este tipo de ataques si bien no ha sido ejecutado de forma masiva, podría permitir que otros actores de amenaza lo tomen como base de conocimiento para el desarrollo de sus TTP´s, sin embargo, al hacer este reporte conocido masivamente favorece a que su identificación sea más sencilla y que los atacantes que privilegien técnicas nuevas, deban modificar sus arsenal de herramientas.

Base de conocimiento:

• CVE-2022-41080 [CVSSv3: 9.8]
  Microsoft Exchange Server Elevation of Privilege Vulnerability
  • https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41080
• CVE-2022-41082 [CVSSv3: 8.8]
  Microsoft Exchange Server Remote Code Execution Vulnerability
  • https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41082
• CVE-2022-41040 [CVSSv3: 8.8]
  Microsoft Exchange Server Elevation of Privilege Vulnerability
  • https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41040

Play Ransomware 

Este ransomware se encuentra operativo desde junio de 2022 donde uno de sus primeros hitos fue el ataque al Poder Judicial de Córdoba y desde entonces no ha cesado sus operaciones sumando aproximadamente 35 víctimas, en donde cada una de ellas le ha permitido sumar más expertis a su arsenal de herramientas .

Este actor de amenazas ha llevado al desarrollo de técnicas novel que le ha permitido acceder a organizaciones a través de explotaciones de MS Exchange causando gran revuelo y por tanto sumar interés de investigadores para revelar sus metodologías, pudiendo determinar el uso de vulnerabilidades existentes pero utilizadas de diferente forma con fin de evadir detecciones por plataformas de seguridad. 

• Para mayores antecedentes de este actor de amenazas dirigirse al siguiente boletín:
  PLAY Ransomware compromete a Poder Judicial Argentino

FIN7

FIN7 es uno de los esquemas de malware más sofisticados y agresivos de los últimos tiempos, que consiste en docenas de ciber delincuentes principalmente de habla rusa motivados financieramente y activos al menos desde 2012. 

FIN7 utiliza un arsenal de herramientas de malware junto a técnicas en constante evolución, y controla las computadoras infectadas a través de una compleja red de servidores ubicados en todo el mundo. Los autores intelectuales detrás de Fin7 crearon un negocio de seguridad informática falso llamado “Combi Security”, que utilizaron para reclutar nuevos miembros y agregar falsa legitimidad al esquema del cibercrimen.

Se han asociado con  ataques contra cajeros automáticos , ocultando  unidades USB que contienen malware  dentro de osos de peluche,  estableciendo firmas de ciberseguridad falsas  para contratar pentesters para ataques de ransomware y más.

Adicionalmente este grupo utiliza un sistema de ataque automatizado que explota las vulnerabilidades de inyección de Microsoft Exchange y SQL para violar las redes corporativas, robar datos y seleccionar objetivos para ataques de ransomware en función del tamaño financiero.

FIN 7 Y Microsoft Exchange

A partir de junio de 2021, FIN7 creó un sistema de ataque automatizado llamado Checkmarks basado en el framework Django para descubrir automáticamente puntos finales vulnerables dentro de las redes de las empresas y explotarlos para obtener acceso mediante implantación de web shells a través de PowerShell, esto permitió al equipo identificar y explotar vulnerabilidades en servidores de Exchange en todo el mundo.

Una vez que los dominios de destino se agregan al panel de administración, el servicio de escáner usa la IP dada para escanear el servidor de Exchange en busca de archivos vinculados a OWA. Si en este punto se detecta un servidor de Exchange en cualquiera de los dominios, se ejecuta automáticamente el exploit e instala un shell a través de Powershell. El panel denominado Checkmarks no solo realiza explotación, sino que también proporciona varios detalles sobre la víctima como herramienta de identificación.

Ilustración 2: - Sistema de autoataque personalizado Checkmarks: detalles de la víctima.
Fuente: https://www.prodaft.com/resource/detail/fin7-unveiled-deep-dive-notorious-cybercrime-gang

A continuación, el equipo de 'marketing' interno de FIN7 examina las nuevas entradas y agrega comentarios en la plataforma Checkmarks para enumerar los ingresos actuales de las víctimas, la cantidad de empleados, el dominio, los detalles de la sede y otra información que ayuda a los actores de amenaza a determinar si la empresa víctima amerita el tiempo y el esfuerzo de un ataque de ransomware.

Ilustración 3 - vista de datos de organizaciones en Checkmarks 
Fuente: https://www.prodaft.com/resource/detail/fin7-unveiled-deep-dive-notorious-cybercrime-gang

FIN7 usó varios exploits para obtener acceso a las redes de destino, incluido su propio código personalizado y PoC disponibles públicamente.

Además de las fallas de MS Exchange, la plataforma de ataque Checkmarks también cuenta con un módulo de inyección SQL que usa SQLMap para buscar fallas potencialmente explotables en el sitio web de un objetivo.

El desarrollo e identificación de la plataforma Checkmarks de FIN7 demuestra cómo los ciberactores están industrializando exploits públicos para realizar ataques a gran escala con un impacto global y de forma automatizada, por tanto, permite una mayor expansión de ataques a medida que se requiere menos interacción humana para lograrlo.

Además, la investigación muestra que en lugar de apuntar específicamente a empresas valiosas, FIN7 se dirige a todos y evalúa qué tan rentable son en una segunda fase.

Jerarquía FIN7

Investigadores revelaron detalles sobre la jerarquía interna de FIN7, afiliaciones con varios proyectos de ransomware y un nuevo sistema de puerta trasera SSH utilizado para robar archivos de redes comprometidas.

Ilustracion 4 - Jerarquia Fin7
Fuente: https://www.prodaft.com/resource/detail/fin7-unveiled-deep-dive-notorious-cybercrime-gang

WorkAround

• Se recomienda que las organizaciones con servidores Microsoft Exchange apliquen las últimas actualizaciones de seguridad  (8 de noviembre de 2022 en adelante - KB5019758) o que desactiven OWA hasta que se pueda aplicar el parche correspondiente a la vulnerabilidad CVE-2022-41080 con el fin de evitar su explotación, ya que las mitigaciones de reescritura de URL para ProxyNotShell no son eficaces contra este método de explotación.

Apreciación 

Los grupos de ransomware y APT continúan representando un grave riesgo para todas las organizaciones, aún más cuando estas cuentan con roles relevantes ya sea por su magnitud o por su pertenencia a gobiernos, es por esto, que actores de amenazas dirigieron sus esfuerzos constantemente en la renovación de sus TTP para lograr comprometer sistemas críticos, por ende, dada la relevancia tecnica, tactica y estrategica que representan los servidores de correo, es que  se han visto constantes renovaciones a los metodos y tecnicas de ataque, involucrando grandes cantidades de tiempo, conocimiento y desarrollo, por tanto es esperable que a medida que estos nuevos vectores de ataque sean descubiertos, los actores continúen renovándolos, por tanto es una tarea que merece constantes ciclos de revisión y monitoreo continuos que permitan reducir o mitigar el riesgo al mínimo posible.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
• Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
• Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
• Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
• Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
• Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
• Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
• Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas"  (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices).
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
• Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
• Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
• No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
• Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
• Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
• Implemente políticas de acceso restrictivo, según las necesidades de su organización.
• Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
• Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
• Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
• Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
• Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
• Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
• Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
• Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
• Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
• Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
• Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
• El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
• Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
• Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
• Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
• Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.