"Este año ha sido marcado por diversos conjuntos de vulnerabilidades contra Microsoft Exchange Servers, que han activado todos los mecanismos de alertas a nivel global."
La inclinación evidenciada en el Panorama de Ciberinteligencia contra la explotación activa de Microsoft Exchange Server ha domostrado que es un objetivo de alto valor (High Value Target: HVT) entendiendo que su compromiso puede darle a un ciberatacante acceso a información empresarial valiosa, desencadenando una posible disrupción en sus procesos de negocio.
¿Qué ha ocurrido en 2021?
Si bien el recuento total de vulnerabilidades parcheadas por Microsoft mes a mes ha sido menor en comparación con 2020, este año hemos evidenciado mayor explotación de las ellas; siendo uno de los focos principales aquellas que afectan a servidores de MS Exchange, entre las que destacan los conjuntos de vulnerabilidades nombradas como: Proxylogon, Proxyoracle y Proxyshell.
¿Cuál es el teatro de operaciones en LATAM?
- Aún existen más de 850 servidores vulnerables a Proxylogon en Latinoamérica, ~49 en Chile.
- Aún existen más de 2.800 servidores vulnerables a Proxyshell en Latinoamérica, ~170 en Chile.
Como es costumbre, Microsoft ha publicado mensualmente diversos parches de seguridad para sus aplicativos, no obstante, a nivel global se ha logrado evidenciar lo que hemos predicho durante los últimos años:
¿Qué gatilló las alertas a nivel global?
Al igual que con proxylogon a principios de marzo, el investigador de seguridad de DEVCORE "Orange Tsai", reveló detalles técnicos muy esperados relacionados con la explotación de Microsoft Exchange en las conferencias de ciberseguridad de Black Hat/DEFCON 2021 en Estados Unidos, realizada entre el 31 de julio y el 5 de agosto.
Tsai descubrió en enero, según lo que él comenta, lo que "podría ser la vulnerabilidad más grave en la historia de Microsoft Exchange": Proxylogon. Un conjunto de cuatro fallas de día cero cuya explotación evidenció cientos de miles de servidores de MS Exchange vulnerables y comprometidos en todo el mundo.
Después de profundizar en el error, Tsai se dio cuenta de que “Proxylogon no era solo un error, sino una superficie de ataque completamente nueva", descubriendo nuevas vulnerabilidades, que incluyen errores criptográficos del lado del servidor y del lado del cliente. Los investigadores se centraron en el servicio de acceso de cliente (CAS) de Exchange y los resultados dieron a conocer cadenas de ejecución de código remoto (RCE) de preautorización conocidas como ProxyLogon, ProxyShell, CVE-2021-33768, CVE-2021-31206 y ProxyOracle, un combo de recuperación de contraseña de texto sin formato cuya explotación exitosa podría resultar en que un atacante vea contraseñas de texto sin formato y ejecute código arbitrario en instancias de Microsoft Exchange Server a través del puerto 443.
Microsoft lanzó cuatro actualizaciones de seguridad fuera de lo acostumbrado el 2 de marzo de 2021. Las actualizaciones consideraban cuatro vulnerabilidades graves, que combinadas permiten acceso completo al servidor:
Ciclo de vida del ataque Proxylogon
Estas vulnerabilidades afectaron a más de 85.000 entidades de distintas industrias, quienes poco a poco lograron parchear y minimizar su brecha de seguridad.
Más de 200 IP se mantenían vulnerables a nivel nacional al 19 de marzo después de que Microsoft publicó una actualización urgente y fuera de ciclo para ProxyLogon el 2 de marzo (17 días antes). Actualmente en Chile aún hay alrededor de ~49 IP vulnerables expuestas a Internet.
Un combo de recuperación de contraseña en texto plano, cuya explotación exitosa podría resultar en que un atacante capture contraseñas y ejecute código arbitrario en instancias de Microsoft Exchange Server a través del puerto 443.
ProxyOracle es un exploit interesante con un enfoque diferente. Con solo llevar a un usuario a visitar un enlace malicioso, ProxyOracle permite que un atacante recupere la contraseña del usuario en formato de texto sin formato por completo. ProxyOracle consta de dos vulnerabilidades:
Un conjunto de vulnerabilidades que afectan a los servidores Microsoft Exchange llamadas en su conjunto proxyshell, a las que además se le ha sumado CVE-2021-31206 evidenciada su utilización como complemento a la explotación.
Ciclo de vida de la explotación de Proxyshell
Aún cuando las últimas soluciones a Proxyshell fueron publicadas en julio, en agosto aún se mantienen servidores vulnerables a nivel nacional.
Recomendaciones del investigador Devcore
Para protegerse contra ataques, Tsai aconsejó a los usuarios de Microsoft Exchange que mantuvieran sus sistemas actualizados y se aseguren de no estar conectados a Internet.
Las mejoras en la interfaz CAS implementadas por Microsoft en abril de 2021, agregó, mitigaron la parte de autenticación de la superficie de ataque y anularon los ataques previos a la autenticación. Debido a que "los problemas modernos requieren soluciones modernas", Tsai aconsejó a los profesionales de la seguridad de la información en sus comentarios finales que "intenten comprender las arquitecturas desde un punto de vista superior".
Y a pesar de los parches y las mitigaciones introducidas por Microsoft, CAS sigue siendo una superficie de ataque con grandes promesas, aunque sin errores previos a la autenticación, los resultados serán menos poderosos que los logrados con las vulnerabilidades previamente descritas.
Para muchas organizaciones, la gestión de las vulnerabilidades es un reto muy importante, por su desconocimiento de qué parches deben priorizar o qué vulnerabilidades son las más críticas, para lo cual nuestro equipo de especialistas de Entel CyberSecure siempre están dispuestos a proveer información oportuna:
Build numbers y fechas de lanzamiento de actualizaciones para Exchange Servers
Las principales versiones de Exchange enumeran los números de compilación para cada Service Pack (SP), Actualización acumulativa (CU), Actualización de seguridad (SU) o Paquete acumulativo de actualizaciones (RU) de la versión de Exchange específica.
* CU = Cumulative Updates. Cada CU es una instalación completa de Exchange que incluye todas las actualizaciones y cambios de las CU anteriores.
Exchange sigue un modelo de entrega trimestral para lanzar actualizaciones acumulativas (CU) que abordan los problemas informados por los clientes. Las CU a veces también agregan nuevas características y funcionalidades.
La tabla de esta sección proporciona los últimos números de compilación y fechas de lanzamiento generales para cada versión de Microsoft Exchange Server.
Exchange Server 2019
Exchange Server 2016
Exchange Server 2013
Exchange Server 2010 (sin soporte desde 13 de octubre de 2020)
Para mayor información dejamos la referencia oficial de Microsoft: “build numbers y fechas de lanzamiento de Exchange Server Updates”.
Fin de soporte
La mayoría de los productos de Microsoft tienen un ciclo de vida de soporte, durante el cual obtienen nuevas funciones, correcciones de errores, correcciones de seguridad, etc. Este ciclo de vida suele durar 10 años desde el lanzamiento inicial del producto. El final de este ciclo de vida se conoce como el final del soporte del producto.
Debido a que Exchange 2010 llegó a su fin de soporte el 13 de octubre de 2020, Microsoft ya no ofrece:
[más detalles en el sitio oficial de Microsoft]
Cabe destacar que se mantiene un seguimiento/monitoreo del impacto que esto ha ocasionado a nivel nacional, teniendo en cuenta que la explotación inicial comienza con el análisis de sistemas vulnerables, aún se pueden encontrar servidores no parcheados en internet. Como lo hemos alertado, los ataques aprovechando el exploit Proxyshell por parte de ciberactores irá en aumento, ha esto podemos agregar que se ha evidenciando un grupo de ransomware denominado LockFile, que ha estado aprovechado estos exploits recientemente publicados con el objetivo de comprometer a las redes de las organizaciones que actualmente tengan Microsoft Exchange sin la debida actualizacion.
Es importante destacar que los ciberdelincuentes han demostrado tener la suficiente capacidad de adaptación a las nuevas vulnerabilidades publicadas, por mencionar algunas como PrintNightmare, PetitPotam junto con las de Exchange, adaptándolas rápidamente para convertirlas en exploits, por lo que esperamos la aparición de nuevos ciberactores en búsqueda de servidores expuestos en el dominio público.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Producto | Versión |
---|---|
Microsoft exchange server |
2013 2016 2019 |