Usan ProxyShell para atacar servidores Exchange e infectarlos con ransomware

El numero de vulnerabilidades descubiertas y parcheadas todos los meses puede ser abrumador. Eso lo saben muy bien los responsables de administrar sistemas en redes corporativas, que ven como los boletines de seguridad se van acumulando mientras que rezan para que los que van aplicando no rompan nada. El problema viene cuando los delincuentes tardan poco tiempo en aprovechar las vulnerabilidades descubiertas y eso les da la oportunidad de comprometer la seguridad de sistemas sin parchear.

Servidores de Exchange bajo ataque

Entre las vulnerabilidades destacables descubiertas durante los últimos meses los últimos meses (y no han habido pocas) que están siendo activamente aprovechadas encontramos a ProxyShell, una recopilación de tres agujeros de seguridad que permiten a un atacante controlar servidores de correo MS Exchange.

  • CVE-2021-31207 permite a un atacante que haya podido autenticarse en el sistema  ejecutar código arbitrario de forma remota con permisos de SYSTEM y modificar archivos de forma arbitraria (solucionado en mayo por el boletín KB5003435).
  • CVE-2021-34473 permite la ejecución remota de código antes de la autenticación, posibilitando que un atacante ejecute código remotamente en un sistema afectado (solucionado en abril por el boletín KB5001779).
  • CVE-2021-34523 elevación de privilegios en Exchange PowerShell Backend que permite la ejecución de código arbitrario tras la autenticación en los servidores de Microsoft Exchange (solucionado en abril por el boletín KB5001779).

Como podemos ver, se trata de vulnerabilidades que ya cuentan con su parche correspondiente desde hace algunos meses pero eso no significa que los responsables de gestionar la seguridad de los sistemas afectados hayan aplicado estos parches. De hecho actualmente se calcula que alrededor de 30.000 servidores Exchange siguen siendo vulnerables a estos ataques, según ha desvelado recientemente ISC SANS.

El problema es que muchos de estos servidores ya están siendo atacados desde hace días, según han desvelado varios investigadores y alguna empresa de seguridad. Además, por si el problema no fuese lo suficientemente grave, los delincuentes incluso están compartiendo listados de servidores Exchange accesibles a través de Internet, lo que permite que se puedan llevar a cabo más ataques de este tipo.

Ransomware LockFile aprovecha las vulnerabilidades ProxyShell y PetitPotam

Uno de los ejemplos más claro del aprovechamiento de estas vulnerabilidades lo encontramos en su uso para acceder a sistemas vulnerables e infectarlos con ransomware. De esta forma, los delincuentes cifran la información que se almacena en el sistema y solicitan el pago de un rescate para recuperarla.

La primera familia de ransomware que se ha descubierto aprovechando la vulnerabilidad ProxyShell es una de reciente aparición y se hace llamar LockFile. Según han informado algunos investigadores, los operadores de este ransomware estarían aprovechando esta vulnerabilidad para acceder a los servidores de MS Exchange que aun no hayan aplicado los parches de seguridad que la solucionan.

Además de ProxyShell, una vez que los delincuentes han conseguido acceder al servidor Exchange, pasan a aprovechar otra vulnerabilidad conocida como PetitPotam hacerse con el controlador de dominio de Windows. Esto les facilita enviar el payload con el ransomware a todas y cada una de las estaciones de trabajo que estén siendo administradas desde el controlador de dominio, acelerando todo el proceso de cifrado.

PetitPotam es otra de las vulnerabilidades que ha dado que hablar recientemente y que fue publicada a finales de julio, solucionándola Microsoft en los boletines de seguridad correspondientes al mes de agosto. La combinación de ProxyShell y PetitPotam resulta muy útil para los delincuentes a la hora de acceder a sistemas vulnerables y hacerse con su control por lo que hasta CISA, la agencia responsable de la ciberseguridad en los Estados Unidos ha emitido una alerta para que se apliquen los parches correspondientes lo antes posible.

Además, resulta también muy importante contar con soluciones de seguridad instaladas que permitan detectar y bloquear los exploits que tratan de aprovecharse de estos agujeros de seguridad, algo que varios usuarios de ESET están comprobando desde hace días al recibir alertas de las soluciones instaladas en servidores Exchange.

Conclusión

Vemos como, una vez más, los delincuentes no pierden el tiempo para tratar de aprovechar vulnerabilidades que les sirvan para comprometer sistemas sin parchear. Es por este motivo que se insiste continuamente en la necesidad de aplicar los boletines de seguridad del sistema operativo o de cualquier aplicación que utilicemos. De esta forma, la ventana de explotación que pueden usar los atacantes se reducen, lo que nos permite gestionar el riesgo derivado de los ciberataques y preparar nuestras defensas de una forma más eficaz.

Josep Albors

Comprobante Fiscal: nueva campaña del troyano bancario Mekotio dirigida a usuarios españoles