Casi 2.000 servidores de Exchange hackeados con ProxyShell

 Casi 2,000 servidores de correo electrónico de Microsoft Exchange han sido hackeados en los últimos dos días e infectados con puertas traseras después de que los propietarios no instalaron parches para una colección de vulnerabilidades conocidas como ProxyShell.

Los ataques, detectados por la firma de seguridad Huntress Labs, se producen después de que la prueba de concepto de código de explotación se publicó en línea a principios de este mes,y las exploraciones de sistemas vulnerables comenzaron la semana pasada.

¿Qué es ProxyShell?

Descubierto por el investigador de seguridad taiwanés Orange Tsai, ProxyShell es una colección de tres defectos de seguridad diferentes que se pueden utilizar para tomar el control de los servidores de correo electrónico de Microsoft Exchange. Estos incluyen:

  • CVE-2021-34473 proporciona un mecanismo para la ejecución remota de código de autenticación previa, lo que permite a los actores maliciosos ejecutar código de forma remota en un sistema afectado.
  • CVE-2021-34523 permite a los actores maliciosos ejecutar código arbitrario posterior a la autenticación en los servidores de Microsoft Exchange debido a un error en el servicio PowerShell que no valida correctamente los tokens de acceso.
  • CVE-2021-31207 permite a los actores maliciosos posteriores a la autenticación ejecutar código arbitrario en el contexto de SYSTEM y escribir archivos arbitrarios.

En el gran esquema de las cosas, ProxyShell es parte de un trío de cadenas de ataque que Tsai ha descubierto y reunido en el último año desde que comenzó a buscar vulnerabilidades en los servidores de Microsoft Exchange a mediados de 2020:

Tsai usó el exploit de ProxyShell durante el concurso de piratería Pwn2Own 2021 en abril de este año, donde ganó $ 200,000 por un compromiso exitoso con el servidor.

Más de 30.400 servidores Exchange expuestos a ataques

Después de su sesión, los detalles sobre el exploit se compartieron inmediatamente con Microsoft, y la compañía parcheó las tres vulnerabilidades en mayo y julio de este año.

Pero al igual que con las divulgaciones de ProxyLogon y ProxyOracle en marzo y abril de este año, no todos los administradores de servidores se apresuraron a parchear los sistemas vulnerables.

Un análisis realizado el 8 de agosto por ISC SANS, dos días después de que se publicara el código de prueba de concepto de ProxyShell, encontró que más de 30.400 servidores de Exchange de un total de 100.000 sistemas aún no habían sido parcheados y seguían siendo vulnerables a los ataques.

Más de 1.900 servidores Exchange ya hackeados

La explotación inicial comenzó con escaneos de sistemas vulnerables, que luego se convirtieron en ataques reales durante el pasado fin de semana, según los registros de honeypot recopilados por los investigadores de seguridad Rich Warren y Kevin Beaumont.

Los ataques se intensificaron esta semana, e incluso una nueva operación de ransomware conocida como LockFile comenzó a usar el exploit de ProxyShell como una forma de entrar en las redes corporativas.

El viernes, la firma de seguridad Huntress Labs dijo que escaneó los servidores de Microsoft Exchange que han sido hackeados usando ProxyShell y encontró más de 140 shells web diferentes en más de 1,900 servidores de Exchange.

"Las organizaciones afectadas hasta ahora incluyen mfgs de construcción, procesadores de mariscos, maquinaria industrial, talleres de reparación de automóviles, un pequeño aeropuerto residencial y más", dijo Kyle Hanslovan, CEO y cofundador de Huntress Labs.

Para empeorar las cosas, a principios de esta semana, un usuario en un foro clandestino de ciberdelincuencia de habla rusa también publicó una lista de todos los más de 100,000 servidores de Exchange accesibles en Internet, lo que reduce la barrera para que aún más actores de amenazas puedan captar la explotación pública y comenzar a atacar los servidores de Exchange en cuestión de minutos.

Lista de servidores de Exchange
IMAGEN: EL REGISTRO

Para ayudar a los administradores de sistemas a investigar sus servidores Exchange, Huntress Labs ha publicado indicadores de riesgo (IOC).

Los lectores que buscan obtener más información sobre las vulnerabilidades de ProxyShell pueden leer el informe técnico de Tsai vinculado anteriormente o ver su charla Def Con incrustada a continuación.


Fuente: TheRecord


Comentarios

Publicar un comentario

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Imagen
Los fiscales estadounidenses se vieron obligados a dejar caer 11 casos de narcotráfico contra seis presuntos delincuentes, después de que se perdieron archivos de casos cruciales en una infección de ransomware en un departamento de policía de Florida. Es al menos séptimo incidente conocido de este tipo: investigaciones policiales se ven afectadas por una infección de ransomware que elimina la evidencia de las fuerzas del orden. La evidencia en los 11 casos no se pudo recuperar después de un ataque de ransomware que golpeó al departamento de policía de Stuart en abril de 2019. Si bien la policía de Stuart recuperó algunos datos de las copias de seguridad, algunos archivos no se pudieron recuperar. Los archivos perdidos incluyeron evidencia en fotos y videos , dijo el sargento detective Mike Gerwan del Departamento de Policía de Stuart a WPTV en una entrevista la semana pasada. Gerwan dijo que los casos retirados incluyen cargos por posesión de metanfetamina, posesión de
Leer más

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Imagen
Anteriormente escribimos un artículo donde mostramos la manera de acceder a un sistema operativo Windows 10 usando metasploit de manera local o remotamente, puedes leer el artículo aquí:  Accediendo remotamente a Windows 10 con Metasploit . Hoy les vamos a mostrar cómo ofuscar el código malicioso para que sea indetectable a los antivirus. Los entusiastas de seguridad siempre buscan exploits de día cero que pueden eludir con éxito las características de seguridad de sistemas cómo Windows 10. Se han llevado a cabo numerosas investigaciones para crear malware indetectable y proyectos completos de GitHub dedicados a automatizar la creación de payloads indetectables como WinPayloads , Veil v3 y TheFatRat . Todo lo que se explicará en esta guía se hace con fines explícitamente educativos y bajo un laboratorio propiedad de Security Hack Labs , los usos que se le puedan dar a este tutorial depende del usuario y es absolutamente responsabilidad del él los daños que
Leer más

Actualización de seguridad para VMWare Center

Imagen
  Fecha de publicación:   26/10/2023 Nivel de peligrosidad:   CRÍTICO El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación del aviso de seguridad  VMSA-2023-0023  por parte del fabricante  VMware , que corrige  una vulnerabilidad  de severidad  crítica    en su producto   VMware Center . La explotación exitosa de la vulnerabilidad indicada, descubierta por el investigador Grigory Dorodnov, permitiría a un atacante remoto  ejecutar código arbitrario   en el sistema de destino. La base de datos del   NIST   no ha registrado esta vulnerabilidad, por lo tanto, no se le ha asignado una puntuación de acuerdo a la escala   CVSSv3 . Asimismo, la vulnerabilidad ha sido catalogada por   VMware   como   crítica . Actualmente no se tiene conocimiento de reportes sobre actividad dañina en la red ni de la disponibilidad de exploits que aprovechen esta vulnerabilidad, así como tampoco, se han publicado pruebas de concepto (PoC) sobre los detalles del fallo reportado. Recursos afe
Leer más