Los ciberataques a servidores con Microsoft Exchange se duplican cada dos o tres horas

Microsoft ha parcheado recientemente varias vulnerabilidades en su sistema para servidores Microsoft Exchange Server, pero los usuarios que no han actualizado cada vez reciben más ataques, y estos se duplican cada dos o tres horas, como ha alertado la compañía de ciberseguridad Check Point.

Desde el pasado 2 de marzo, Microsoft había descubierto la presencia de vulnerabilidades día cero consideradas «críticas» que permitían una cadena de ataque iniciada por una «conexión no segura» a los servidores funcionando con Exchange, pero que también podían explotarse si se conseguía otro tipo de acceso.

Para solucionarlas, a principios de semana lanzó una actualización para corregir cuatro vulnerabilidades de Exchange. Microsoft recomendó a las empresas que actualizasen sus servidores con las versiones afectadas de Exchange (2016 y 2019), ya que los equipos desactualizados siguen siendo vulnerables.

La compañía de ciberseguridad Check Point ha registrado cientos de intentos de explotación de vulnerabilidades contra empresas de todo el mundo relacionados con las estas vulnerabilidades, como ha informado en un comunicado.

Solo en las últimas horas, Check Point ha observado que el número de intentos de explotación en las empresas que rastrea se duplica cada dos o tres horas.

De todas las empresas atacadas, el 17% proceden del sector público y militar y un 14% del sector industrial. Desde el punto de vista geográfico, el país más atacado resultó ser Turquía (19%), seguido de Estados Unidos (18%) e Italia (10%).

Como ya se había informado, uno de los focos de estos ataques es el grupo de ciberdelincuentes chinos Hafnium, que ha utilizado la vulnerabilidad día cero de Microsoft Exchange para realizar ataques dirigidos contra empresas, en los que están instalando ‘web shells’ para infiltrarse en los ecosistemas de las compañías.

Asimismo, otras organizaciones han experimentado amenazas más avanzadas en sus sistemas, entre las que se incluyen volcados de credenciales, movimiento lateral e instalación de más ‘malware’ o ‘ransomware’.

Una vez que un ciberdelincuente se apodera del servidor Exchange, puede abrir la red a Internet y acceder a ella de forma remota. Dado que muchos servidores Exchange están conectados a Internet (concretamente a la función Outlook Web Access) y están integrados en la red general, esto supone un riesgo de seguridad crítico para millones de empresas, según Check Point.

Si el servidor de Microsoft Exchange de una empresa tiene acceso a Internet y no se ha actualizado con los últimos parches ni se ha protegido con un software de terceros, entonces debería considerar que el servidor está en peligro.

Los servidores comprometidos podrían permitir a un cibercriminal no autorizado extraer todos los correos electrónicos corporativos y ejecutar un código malicioso dentro de una empresa con elevados permisos.

LAS CUATRO VULNERABILIDADES

Check Point ha descrito también el funcionamiento de cada una de las cuatro vulnerabilidades día cero presentes en el sistema Microsoft Exchange Server.

La primera de ellas es CVE-2021-26855, una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Exchange que permite al ciberdelincuente enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.

Por su parte, CVE-2021-26857 es una vulnerabilidad de deserialización insegura en el servicio de Mensajería Unificada. Este error se produce cuando los datos no confiables controlados por el usuario son deserializados por un programa. La explotación de esta vulnerabilidad da a grupos como Hafnium la capacidad de ejecutar código como sistema en el servidor Exchange, lo que requiere el permiso del administrador u otra vulnerabilidad.

El tercero error, CVE-2021-26858, es una vulnerabilidad de escritura arbitraria de archivos después de la autenticación en Exchange. Si el atacante pudiera autenticarse en el servidor, podría utilizar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podría autenticarse explotando la vulnerabilidad CVE-2021-26855 SSRF o comprometiendo las credenciales de un administrador legítimo.

Por cuarto y último lugar, CVE-2021-27065 es una vulnerabilidad de escritura arbitraria de archivos posterior a la autenticación en Exchange. Si los ‘hackers’ chinos de Hafnium pudieran autenticarse, podrían escribir un archivo en cualquier ruta del servidor. También podrían autenticarse explotando el error CVE-2021-26855 SSRF o usando las credenciales de administrador.