Casi 2.000 servidores de Exchange hackeados con ProxyShell

 Casi 2,000 servidores de correo electrónico de Microsoft Exchange han sido hackeados en los últimos dos días e infectados con puertas traseras después de que los propietarios no instalaron parches para una colección de vulnerabilidades conocidas como ProxyShell.

Los ataques, detectados por la firma de seguridad Huntress Labs, se producen después de que la prueba de concepto de código de explotación se publicó en línea a principios de este mes,y las exploraciones de sistemas vulnerables comenzaron la semana pasada.

¿Qué es ProxyShell?

Descubierto por el investigador de seguridad taiwanés Orange Tsai, ProxyShell es una colección de tres defectos de seguridad diferentes que se pueden utilizar para tomar el control de los servidores de correo electrónico de Microsoft Exchange. Estos incluyen:

  • CVE-2021-34473 proporciona un mecanismo para la ejecución remota de código de autenticación previa, lo que permite a los actores maliciosos ejecutar código de forma remota en un sistema afectado.
  • CVE-2021-34523 permite a los actores maliciosos ejecutar código arbitrario posterior a la autenticación en los servidores de Microsoft Exchange debido a un error en el servicio PowerShell que no valida correctamente los tokens de acceso.
  • CVE-2021-31207 permite a los actores maliciosos posteriores a la autenticación ejecutar código arbitrario en el contexto de SYSTEM y escribir archivos arbitrarios.

En el gran esquema de las cosas, ProxyShell es parte de un trío de cadenas de ataque que Tsai ha descubierto y reunido en el último año desde que comenzó a buscar vulnerabilidades en los servidores de Microsoft Exchange a mediados de 2020:

Tsai usó el exploit de ProxyShell durante el concurso de piratería Pwn2Own 2021 en abril de este año, donde ganó $ 200,000 por un compromiso exitoso con el servidor.

Más de 30.400 servidores Exchange expuestos a ataques

Después de su sesión, los detalles sobre el exploit se compartieron inmediatamente con Microsoft, y la compañía parcheó las tres vulnerabilidades en mayo y julio de este año.

Pero al igual que con las divulgaciones de ProxyLogon y ProxyOracle en marzo y abril de este año, no todos los administradores de servidores se apresuraron a parchear los sistemas vulnerables.

Un análisis realizado el 8 de agosto por ISC SANS, dos días después de que se publicara el código de prueba de concepto de ProxyShell, encontró que más de 30.400 servidores de Exchange de un total de 100.000 sistemas aún no habían sido parcheados y seguían siendo vulnerables a los ataques.

Más de 1.900 servidores Exchange ya hackeados

La explotación inicial comenzó con escaneos de sistemas vulnerables, que luego se convirtieron en ataques reales durante el pasado fin de semana, según los registros de honeypot recopilados por los investigadores de seguridad Rich Warren y Kevin Beaumont.

Los ataques se intensificaron esta semana, e incluso una nueva operación de ransomware conocida como LockFile comenzó a usar el exploit de ProxyShell como una forma de entrar en las redes corporativas.

El viernes, la firma de seguridad Huntress Labs dijo que escaneó los servidores de Microsoft Exchange que han sido hackeados usando ProxyShell y encontró más de 140 shells web diferentes en más de 1,900 servidores de Exchange.

"Las organizaciones afectadas hasta ahora incluyen mfgs de construcción, procesadores de mariscos, maquinaria industrial, talleres de reparación de automóviles, un pequeño aeropuerto residencial y más", dijo Kyle Hanslovan, CEO y cofundador de Huntress Labs.

Para empeorar las cosas, a principios de esta semana, un usuario en un foro clandestino de ciberdelincuencia de habla rusa también publicó una lista de todos los más de 100,000 servidores de Exchange accesibles en Internet, lo que reduce la barrera para que aún más actores de amenazas puedan captar la explotación pública y comenzar a atacar los servidores de Exchange en cuestión de minutos.

Lista de servidores de Exchange
IMAGEN: EL REGISTRO

Para ayudar a los administradores de sistemas a investigar sus servidores Exchange, Huntress Labs ha publicado indicadores de riesgo (IOC).

Los lectores que buscan obtener más información sobre las vulnerabilidades de ProxyShell pueden leer el informe técnico de Tsai vinculado anteriormente o ver su charla Def Con incrustada a continuación.


Fuente: TheRecord


Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos