Microsoft ha detectado varios ataques dirigidos en las versiones locales de Ms Exchange Server donde los hackers aprovecharon la vulnerabilidad para acceder a cuentas de correo electrónico y posteriormente instalar malware, este ataque se denomina como uno de los más peligrosos ya que toma ventaja de los sistemas sin parches o actualización. HAFNIUM se dirige principalmente a entidades de los Estados Unidos en varios sectores de la industria, incluidos investigadores, bufetes de abogados, sector educativo, contratistas, políticos y ONGs.
Estos ataques ya han comprometido víctimas mediante la explotación de vulnerabilidad, de ahí pues que al día de hoy se hubieran publicaron varios artículos de la base de datos de CVE referentes a este tema:
CVE-2021-26855: vulnerabilidad de falsificación de solicitudes del lado del servidor.
CVE-2021-26857: vulnerabilidad de deserialización insegura en el servicio de mensajería unificada.
CVE-2021-26858: vulnerabilidad de escritura de archivo arbitrario posteriormente a la autenticación de Exchange.
CVE-2021-27065: vulnerabilidad de escritura que como la anterior, podría usarse para escribir un archivo de cualquier ruta del servidor.
Estas fueron abordadas en la versión actual del Centro de respuesta a la seguridad de Microsoft (MSRC) – Múltiples actualizaciones de seguridad publicadas para Exchange Server.
Gracias a la colaboración de empresas como Volexity y Dubex, quienes no sólo identificaron el ataque si no que fueron parte de la investigación, han generado una participación con Microsoft, que ha permitido una pronta solución, el evitar la propagación y la mejora en la seguridad para los usuarios finales.
La detección inicial dentro de la consola de la plataforma CrowdStrike quien es uno de los mejores proveedores de seguridad más reconocidos a nivel mundial , mostró una línea de comando sospechosa. Un análisis más detallado reveló que este webshells (código de comandos a ejecutar) era consistente con variantes relacionadas con un webshell similar a China Chopper.
Actualmente se está compartiendo la información con clientes y comunidad de seguridad para así estar protegidos contra estos ataques y prevenir futuros abusos, se continúa trabajando en la colaboración con los usuarios para atender de manera oportuna y sobre todo haciendo la recomendación de mantener los sistemas actualizados para evitar cualquier vulnerabilidad.
Si quieres saber más sobre esta y más noticias, visita nuestro video de YouTube: