Microsoft ha publicado parches para solucionar estas vulnerabilidades en Microsoft Exchange Server, que no se sabe si afectan a Exchange Online o a los servicios de correo electrónico en la nube Microsoft 365 (antes O365).

A continuación encontrará tácticas, técnicas y procedimientos (TTP), así como indicadores de compromiso (IOC) asociados a esta actividad maliciosa. Para protegerse frente a esta amenaza, recomendamos a las organizaciones que analicen sus sistemas en busca de TTP y utilicen IOC para detectar cualquier incidente.

Microsoft Exchange Alert: Detalles técnicos

La actualización de seguridad de abril de 2021 de Microsoft mitiga vulnerabilidades significativas que afectan a Exchange Server 2016 y 2019 local. Y aborda cuatro vulnerabilidades en Exchange Server:

CVE-2021-28310 - Vulnerabilidad de elevación de privilegios en Win32k

Esta es la única vulnerabilidad que aparece como activamente explotada y corregida en abril. El fallo permite a un atacante escalar privilegios mediante la ejecución de un programa especialmente diseñado en un sistema de destino (por ejemplo, Microsoft Exchange). Esto significa que tendrá que iniciar sesión en un sistema o engañar a un usuario legítimo para que ejecute el código en su nombre. Teniendo en cuenta quién aparece como descubridor del fallo, es probable que se esté utilizando en malware. Los bugs de esta naturaleza suelen combinarse con otros, como un bug de navegador o un exploit de PDF, para tomar el control de un sistema.

CVE-2021-28480 y CVE-2021-28481 - Vulnerabilidad de ejecución remota de código en Microsoft Exchange Server

Ambos CVEs están listados con un CVSS de 9.8(Crítico) y tienen descripciones idénticas, por lo que ambos están listados aquí. Ambos errores de ejecución de código no requieren autenticación ni interacción del usuario. Dado que el vector de ataque se enumera como "Red", es probable que estos fallos puedan cambiarse, al menos entre servidores Exchange. De hecho, la puntuación CVSS de estos dos fallos es superior a la de los fallos de Exchange explotados a principios de este año. Dada la fuente, y teniendo en cuenta que estos fallos también reciben la puntuación más alta del índice de exploits de Microsoft, es de suponer que acabarán siendo explotados.

CVE-2021-28329 y otros - Vulnerabilidad de ejecución remota de código en tiempo de ejecución de llamada a procedimiento remoto

De las 27 CVE enumeradas anteriormente, 12 están clasificadas como críticas, mientras que 15 están clasificadas como medias. En las vulnerabilidades RPC comunes, un atacante necesitaría enviar una petición RPC especialmente diseñada a un sistema previamente infectado. Una explotación exitosa resulta en la ejecución de código en el contexto de otro usuario. Es posible que los usuarios implicados en los fallos con calificación importante tengan privilegios inferiores a los de sus homólogos con calificación crítica. A continuación se enumeran las CVE calificadas como críticas:

CVE-2021-28460 / CVE-2021-28480,81,82 y 82 / CVE-2021-28329, 30, 31, 32 ,33 ,34 ,35 ,36 ,37 ,38 ,39 /

CVE-2021-28343 / CVE-2021-27095 / CVE-2021-28315.

CVE-2021-28444 - Vulnerabilidad de elusión de funciones de seguridad de Windows Hyper-V

Esta omisión de la función de seguridad permite a un atacante eludir potencialmente la configuración de Router Guard en Hyper-V. Router Guard está diseñado para evitar que los sistemas operativos invitados ofrezcan servicios de router en la red. Muchos no se dan cuenta de que Windows puede configurarse como un router y, en sistemas físicos o virtuales, configurarse para redirigir paquetes a una ubicación incorrecta (por ejemplo, Man-in-the-Middle) o simplemente crear un agujero negro en el tráfico.

Es posible que un atacante, una vez autenticado en el servidor Exchange, acceda al AD (Active Directory) y obtenga así todos los datos contenidos en él.

Microsoft Security Intelligence publicó un tuit sobre el ransomware DearCry (el malware cifra los archivos de un dispositivo y exige un rescate a cambio del descifrado), utilizado para explotar servidores Exchange locales comprometidos. Las infecciones por ransomware pueden tener consecuencias negativas para una organización afectada, entre ellas:

• Pérdida temporal o permanente de información confidencial o sujeta a derechos de propiedad;
• Interrupción de las operaciones regulares;
• Pérdidas económicas ocasionadas por la restauración de sistemas y archivos;
• Daño potencial a la reputación de una organización.

Tácticas, técnicas y procedimientos

El ransomware intenta cifrar archivos específicos, identificados por su extensión, en el sistema de destino utilizando los algoritmos de cifrado Advanced Encryption Standard (AES) y Rivest - Shamir - Adleman (RSA). El ransomware contiene la siguiente clave RSA pública cifrada, que se utiliza para cifrar los archivos del usuario en el sistema de destino.

Durante el tiempo de ejecución, el ransomware carga la clave pública RSA incrustada en el código. A continuación, intenta identificar todas las unidades que están conectadas al sistema conectado, desde la unidad A: hasta la unidad Z :. Para cada unidad identificada, el ransomware la enumerará y cifrará los archivos con las siguientes extensiones:

.TIF .TIFF .PDF .XLS .XLSX .XLTM .PS .PPS .PPT .PPTX .DOC .DOCX .LOG .MSG .RTF .TEX .TXT .CAD .WPS .EML .INI .CSS .HTM .HTML .XHTML .JS .JSP .PHP .KEYCHAIN .PEM .SQL .APK .APP .BAT .CGI .ASPX .CER .CFM .CPP .GO .CONFIG .PL .PY .DWG .XML .JPG .BMP .PNG .EXE .DLL .CAD .AVI .H.CSV .DAT .ISO .PST .PGD .7Z .RAR .ZIP .ZIPX .TAR .PDB .BIN .DB .MDB .MDF .BAK .LOG .EDB .STM .DBF .ORA .GPG .EDB .MFS

A continuación, el ransomware cifrará los archivos que tengan las extensiones de archivo indicadas anteriormente. Después de cifrar los archivos, el ransomware dejará la nota de rescate "readme.txt" dentro de las carpetas con archivos cifrados en el sistema de destino. en ella contiene el siguiente mensaje:

   Si desea descifrarlo, póngase en contacto con nosotros.

                        konedieyp[@]airmail.cc o uenwonken[@]memail.com

                        Y por favor envíame el siguiente hash

                        638428e5021d4ae247b21acf9c0bf6f6

A continuación, el ransomware eliminará la copia original del archivo y la sustituirá por copias cifradas de sí mismo, con la extensión de archivo cambiada a .CRYPT. Antes de eliminar el archivo de destino original, el malware lo sobrescribirá con el valor de repetición 0x41 para imposibilitar la recuperación del archivo mediante software forense.

Antes de cifrar los archivos del usuario en el sistema de destino, el malware cifrará información sobre los archivos, incluida la ruta completa del archivo y la clave AES utilizada para cifrarlo, que también se utilizará para descifrarlo. Estos datos se cifrarán utilizando la clave de cifrado RSA pública mencionada anteriormente y se añadirán al principio del archivo cifrado. Recuerda que el ransomware generará una nueva clave AES para cada archivo.

Durante su ejecución, el ransomware ejecuta un servicio llamado "msupdate". Tras el proceso de cifrado y la instalación de la nota de rescate, se elimina el servicio "msupdate".

A continuación, el ransomware eliminará la copia original de los archivos y los sustituirá por copias cifradas de los mismos con la extensión de archivo cambiada a .CRYPT. Antes de eliminar el archivo de destino original, el malware lo sobrescribirá con el valor de repetición 0x41 para que sea imposible recuperarlo con software forense.

Antes de cifrar los archivos del usuario en el sistema de destino, el malware cifrará información sobre los archivos, incluida la ruta completa del archivo y la clave AES utilizada para cifrarlo, que también se utilizará para descifrarlo. Estos datos se cifrarán utilizando la clave RSA pública antes mencionada y se añadirán al principio del archivo cifrado. El ransomware generará una nueva clave AES para cada archivo.

Recomendaciones para hacer frente a DearCry

Los usuarios y administradores deben adoptar las siguientes buenas prácticas para reforzar la seguridad de los sistemas de su organización. Todos los cambios de configuración deben ser revisados por los propietarios y administradores del sistema antes de su aplicación para evitar repercusiones no deseadas. Las recomendaciones son:

• Mantenga actualizadas las firmas y los motores antivirus;
• Mantenga actualizados los parches del sistema operativo;
• Desactive los servicios de uso compartido de archivos e impresoras. Si estos servicios son necesarios, utilice contraseñas seguras o autenticación de Active Directory;
• Restrinja la capacidad (permisos) de los usuarios para instalar y ejecutar aplicaciones de software no deseadas. No añada usuarios al grupo de administradores locales a menos que sea necesario;
• Aplique una política estricta de contraseñas y cámbielas periódicamente;
• Tenga cuidado al abrir archivos adjuntos de correo electrónico, incluso si el archivo adjunto es esperado y el remitente parece ser conocido;
• Active un cortafuegos personal en las estaciones de trabajo, configurado para denegar las solicitudes de conexión no solicitadas;
• Desactive los servicios innecesarios en estaciones de trabajo y servidores;
• Busque y elimine los archivos adjuntos sospechosos de los correos electrónicos; asegúrese de que el archivo adjunto analizado es de su "verdadero tipo" (es decir, que la extensión coincide con el encabezado del archivo);
• Supervisar los hábitos de navegación por Internet de los usuarios; restringir el acceso a sitios de contenido desfavorable;
• Ten cuidado al utilizar soportes extraíbles (por ejemplo, memorias USB, unidades externas, CD, etc.);
• Analice todo el software descargado de Internet antes de ejecutarlo;
• Mantener el conocimiento de la situación de las amenazas más recientes e implantar listas de control de acceso (ACL) adecuadas.

Siguiendo con las vulnerabilidades

Se han identificado aproximadamente 10 webshells asociadas a la actividad del ransomware, pero esta no es la lista completa. Por lo tanto, la recomendación es que las organizaciones revisen las siguientes MARs para un análisis detallado de las 10 webshells, junto con TTPs e IOCs. Estas MAR incluyen reglas YARA desarrolladas para ayudar en la detección y respuesta oportunas.

1. AR21-072A: MAR-10328877.r1.v1: China Chopper Webshell
2. AR21-072B: MAR-10328923.r1.v1: China Chopper Webshell
3. AR21-072C: MAR-10329107.r1.v1: China Chopper Webshell
4. AR21-072D: MAR-10329297.r1.v1: China Chopper Webshell
5. AR21-072E: MAR-10329298.r1.v1: China Chopper Webshell
6. AR21-072F: MAR-10329301.r1.v1: China Chopper Webshell
7. AR21-072G: MAR-10329494.r1.v1: China Chopper Webshell
8. AR21-084A: MAR-10329496-1.v1: China Chopper Webshell
9. AR21-084B: MAR-10329499-1.v1: China Chopper Webshell
10. AR21-102A: MAR-10331466-1.v1: China Chopper Webshell

Webshells: qué son y para qué sirven

Una webshell es un script que se puede cargar en un Microsoft Exchange Server comprometido para permitir la administración remota de la máquina. Las webshells se utilizan para los siguientes fines:

• Recoger y filtrar datos y credenciales sensibles;
• Cargar malware adicional con el potencial de crear, por ejemplo, un abrevadero (utilidad de botnet) para la infección y exploración de otras víctimas;
• Se utiliza como punto de retransmisión para emitir comandos a hosts dentro de la red sin acceso directo a Internet;
• Para utilizar como infraestructura de mando y control, potencialmente en forma de bot en una botnet o en apoyo de comprometer redes externas adicionales. Esto puede ocurrir si el adversario pretende mantener una persistencia a largo plazo. Comúnmente conocido como DDos (ataques de denegación de servicio).

Archivos encontrados como objetivo de peticiones HTTP POST

Lo son:

• /owa/auth/Current/themes/resources/logon.css
• /owa/auth/Current/themes/resources/owafont_ja.css
• /owa/auth/Current/themes/resources/lgnbotl.gif
• /owa/auth/Current/themes/resources/owafont_ko.css
• /owa/auth/Current/themes/resources/SegoeUI-SemiBold.eot
• /owa/auth/Current/themes/resources/SegoeUI-SemiLight.ttf
• /owa/auth/Current/themes/resources/lgnbotl.gif

Los administradores deben buscar en los registros del servidor ECP la siguiente cadena (o algo similar):

S:CMD=Set-OabVirtualDirectory.ExternalUrl='

Os logs podem ser encontrados em <exchange install path>\Logging\ECP\Server\.

Para determinar la posible actividad de webshell, los administradores deben buscar archivos aspx en las siguientes rutas:

• \inetpub\wwwroot\aspnet_client\ (cualquier archivo aspx en esta carpeta o subcarpetas)
• \<exchange install path>\FrontEnd\HttpProxy\ecp\auth\ (qualquer arquivo além TimeoutLogoff.aspx)
• \<exchange install path>\FrontEnd\HttpProxy\owa\auth\ (qualquer arquivo ou arquivo modificado que não faça parte de uma instalação padrão)
• \<exchange install path>\FrontEnd\HttpProxy\owa\auth\Current\ (qualquer aspx arquivo nesta pasta ou subpastas)
• \<exchange install path>\FrontEnd\HttpProxy\owa\auth\<folder with version number>\ (qualquer arquivo aspx nesta pasta ou subpastas)

Busque también en /owa/auth/Current los siguientes agentes de usuario de registro web no estándar. Estos agentes pueden ser útiles para que el personal de respuesta a incidentes determine si se requiere una investigación adicional.

No deben considerarse COI definitivos:

• DuckDuckBot/1.0;+(+http://duckduckgo.com/duckduckbot.html)
• facebookexternalhit/1.1+(+http://www.facebook.com/externalhit_uatext.php)
• Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)
• Mozilla/5.0+(compatible;+Bingbot/2.0;++http://www.bing.com/bingbot.htm)
• Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html
• Mozilla/5.0+(compatible;+Konqueror/3.5;+Linux)+KHTML/3.5.5+(como+Gecko)+(Exabot-Thumbnails)
• Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)
• Mozilla/5.0+(compatible;+YandexBot/3.0;++http://yandex.com/bots)
• Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/51.0.2704.103+Safari/537.36

También se observaron agentes de usuario junto con la explotación de URL /ecp/:

• ExchangeServicesClient/0.0.0.0
• python-solicitudes/2.19.1
• python-solicitudes/2.25.1

También se observó que estos agentes tenían conexiones para el acceso web shell posterior a la explotación:

• antSword/v2.1
• Googlebot/2.1+(+http://www.googlebot.com/bot.html)
• Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)

Al igual que con los agentes de usuario no estándar, los responsables pueden examinar los registros de Internet Information Services (IIS) de los servidores Exchange para identificar posibles actividades históricas. Además, al igual que con los agentes de usuario no estándar, no deben considerarse como COI definitivos:

• POST /owa/auth/Current/
• POST /ecp/default.flt
• POST /ecp/main.css
• POST /ecp/<single char>.js

Los actores maliciosos utilizaron las siguientes direcciones IP. Aunque están conectadas a servidores privados virtuales (VPS) y redes privadas virtuales (VPN), los responsables deben investigar estas direcciones IP en sus redes y actuar de acuerdo con sus políticas internas:

• 103.77.192[.]219
• 104.140.114[.]110
• 104.250.191[.]110
• 108.61.246[.]56
• 149.28.14[.]163
• 157.230.221[.]198
• 167.99.168[.]251
• 185.250.151[.]72
• 192.81.208[.]169
• 203.160.69[.]66
• 211.56.98[.]146
• 5.254.43[.]18
• 5.2.69[.]14
• 80.92.205[.]81
• 91.192.103[.]43

A continuación se muestran los hashes webshell proporcionados por Microsoft:

• b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
• 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
• 2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
• 65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
• 511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
• 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
• 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
• 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944

Recuerde que esta no es una lista completa de indicadores de compromiso y que los actores de amenazas a menudo utilizan direcciones IP alquiladas a corto plazo que cambian con mucha frecuencia. Las organizaciones que no localicen en su tráfico de red ninguno de los IOC enumerados en esta alerta pueden haber sido comprometidas. Recomendamos que su profesional de Microsoft Exchange siga las directrices sugeridas por Microsoft.

Mitigación

Según Microsoft, la empresa tiene constancia de que algunos actores de amenazas utilizan herramientas de código abierto para escanear servidores Microsoft Exchange vulnerables. Este tipo específico de ataque puede ser programado, lo que permite a los atacantes explotar las vulnerabilidades a través de mecanismos automatizados.

Las actualizaciones de seguridad de Check están disponibles para los siguientes sistemas operativos:

• Exchange Server 2010 (la actualización requiere SP3 o cualquier SP3RU)
• Exchange Server 2013 (la actualización requiere CU 23)
• Exchange Server 2016 (la actualización requiere CU 19 o CU 18)
• Exchange Server 2019 (la actualización requiere CU 8 o CU 7)

Todos los parches deben aplicarse con privilegios de administrador.

Si el parcheado no es una opción inmediata, se recomienda una solución temporal, no como sustituto del parcheado. Además, hay otras opciones de mitigación disponibles. Se recomienda limitar o bloquear el acceso externo a los servidores Exchange orientados a Internet de la siguiente manera:

• Restrinja las conexiones no fiables al puerto 443 o configure una VPN para separar Exchange Server del acceso externo; tenga en cuenta que esto no evitará que un adversario explote la vulnerabilidad si el atacante ya está en su red;
• Bloquear el acceso externo al Exchange local;
• Restringir el acceso externo a la URL de OWA: /owa/;
• Restringir el acceso externo al Centro de Administración de Exchange (EAC) también conocido como Exchange Control Panel (ECP) URL: /ecp/;
• Desconecte de Internet los servidores Exchange vulnerables hasta que se pueda aplicar un parche;
• Investigar los servidores Exchange expuestos en busca de riesgos, independientemente del estado actual de los parches;
• Busque web shells a través de nuestra guía y ejecute un análisis AV completo utilizando la herramienta de mitigación de Exchange in situ;
• Investigue los usuarios y grupos locales, incluso los usuarios no administrativos, en busca de cambios y asegúrese de que todos los usuarios requieren una contraseña para iniciar sesión. La creación de nuevas cuentas de usuario (representada por el ID de evento 4720) durante el tiempo en que el sistema fue vulnerable puede indicar la creación de un usuario malicioso;
• Restablece y aleatoriza las contraseñas de administrador local con una herramienta como LAPS si aún no lo estás haciendo;
• Busque cambios en la configuración de RDP, firewall, firmas WMI y Windows Remote Management (WinRM) del sistema que puedan haber sido configurados por el atacante para permitir la persistencia;
• Busque el ID de evento 1102 para determinar si los atacantes han borrado los registros de eventos, una actividad que los atacantes realizan con exe en un intento de cubrir sus huellas;
• Busque nuevos mecanismos de persistencia, como servicios inesperados, tareas programadas y elementos de inicio;
• Busque herramientas de Shadow IT que los atacantes puedan haber instalado para persistir, como clientes de acceso remoto y RDP que no sean de Microsoft;
• Compruebe la configuración de reenvío de correo a nivel de buzón (atributos ForwardingAddress y ForwardingSMTPAddress), compruebe las reglas del buzón de entrada (que pueden utilizarse para reenviar correo externamente) y compruebe las reglas de Exchange Transport que no reconozca.

Fuentes

• Actualización de seguridad de Microsoft de abril de 2021 que mitiga vulnerabilidades significativas que afectan a Exchange Server 2016 y 2019 locales.
• Aviso de Microsoft: https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
• Blog de seguridad de Microsoft - Hafnium atacando servidores Exchange: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
• Blog Volexity: https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
• Blog de Microsoft sobre mitigación de vulnerabilidades de Exchange Server: https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/

Referencias

Eric Zimmerman: Documentación KAPE

Mitigar las vulnerabilidades de los productos locales de Microsoft Exchange:

• Directiva de Emergencia 21-02;
  
• Dirección Suplementaria V1 a la Directiva de Emergencia 21-02;
• Dirección Suplementaria V2 a la Directiva de Emergencia 21-02;

Informe de análisis: El ransomware DearCry