Microsoft  ha detectado varios ataques dirigidos en las versiones locales de Ms Exchange Server donde los hackers aprovecharon la vulnerabilidad para acceder a cuentas de correo electrónico y posteriormente instalar malware, este ataque se denomina como uno de los más peligrosos ya que toma ventaja de los sistemas sin parches o actualización.   HAFNIUM se dirige principalmente a entidades de los Estados Unidos en varios sectores de la industria, incluidos investigadores, bufetes de abogados, sector educativo, contratistas, políticos y ONGs.

 

Estos ataques ya han comprometido víctimas mediante la explotación de vulnerabilidad, de ahí pues que al día de hoy se hubieran publicaron varios artículos de la base de datos de  CVE referentes a este tema:

CVE-2021-26855: vulnerabilidad de falsificación de solicitudes del lado del servidor.

CVE-2021-26857: vulnerabilidad de  deserialización  insegura en el servicio de mensajería unificada.

CVE-2021-26858: vulnerabilidad de escritura de archivo arbitrario posteriormente a la autenticación de Exchange.

CVE-2021-27065: vulnerabilidad de escritura que como la anterior, podría usarse para escribir un archivo de cualquier ruta del servidor.

 

Estas fueron abordadas en la versión actual del Centro de respuesta a la seguridad de Microsoft (MSRC)Múltiples actualizaciones de seguridad publicadas para Exchange Server.

Gracias a la colaboración de empresas como Volexity y Dubex, quienes no sólo identificaron el ataque si no que fueron parte de la investigación, han generado una participación con Microsoft, que ha permitido una pronta solución, el evitar la propagación y la mejora en la seguridad para los usuarios finales.

 

La detección inicial dentro de la consola de la plataforma  CrowdStrike  quien es uno de los mejores proveedores  de seguridad  más reconocidos a nivel mundial  , mostró una línea de comando sospechosa. Un análisis más detallado reveló que este  webshells  (código de comandos a ejecutar) era consistente con variantes relacionadas con un  webshell  similar a China Chopper.

 

Actualmente se está compartiendo la información con clientes y comunidad de seguridad para así  estar protegidos  contra estos ataques y prevenir futuros abusos, se continúa trabajando  en la colaboración con los usuarios para atender de manera oportuna y sobre todo haciendo la recomendación de mantener los sistemas actualizados para evitar cualquier vulnerabilidad.

  


Si quieres saber más sobre esta y más noticias, visita nuestro video de YouTube: 

 

 

Etiquetas: