Operación Intercambio Marauder
Tabla de contenidos:
HAFNIUM APT explota vulnerabilidades Zero-Days de Microsoft Exchange para robar datos e instalar malware
En enero de 2021, investigadores de seguridad de Violexity revelaron una operación maliciosa a largo plazo lanzada por el APT HAFNIUM afiliado a China contra varias organizaciones no nombradas. Los actores de la amenaza aprovecharon un conjunto de vulnerabilidades de día cero previamente no divulgadas en Microsoft Exchange para acceder a información corporativa sensible y realizar otras acciones nefastas tras la intrusión.
Vulnerabilidades de Día Cero en Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)
Los investigadores informan de un total de cuatro nuevas vulnerabilidades de día cero siendo explotadas en la naturaleza durante la Operación Exchange Marauder.
El primer problema aprovechado por los actores de la amenaza HAFNIUM es un error de falsificación de solicitud del lado del servidor (SSRF) (CVE-2021-26855) que podría permitir a un actor remoto no autorizado enviar solicitudes HTTP arbitrarias al puerto 443 y autenticarse como el servidor de Exchange. Como resultado, los atacantes pueden acceder fácilmente a los buzones corporativos sin conocimiento especial de la red objetivo.
El siguiente problema de día cero utilizado durante la campaña es un error de deserialización insegura (CVE-2021-26857) que reside en el servicio de mensajería unificada. Este agujero de seguridad permite a los piratas informáticos ejecutar código arbitrario como SYSTEM en el servidor de Exchange vulnerable. Sin embargo, la explotación exitosa requiere derechos de administrador u otra falla para aprovechar primero.
Las dos vulnerabilidades de día cero restantes son errores de escritura de archivo arbitrario post-autenticación (CVE-2021-26858, CVE-2021-27065) que permiten escribir un archivo en cualquier ruta en el servidor comprometido. La explotación requiere autenticación, que podría lograrse a través de la falla SSRF (CVE-2021-26855) o descargando credenciales de administrador.
Operación Exchange Marauder: Detalles del Ataque
Microsoft informa que los actores respaldados por la nación china aprovecharon la combinación de las vulnerabilidades de día cero mencionadas para colocar web shells en los sistemas y descargar datos de correos electrónicos junto con credenciales de administrador. Además, los adversarios lograron obtener acceso a la libreta de direcciones sin conexión (OAB) de Exchange. Todos los detalles recopilados podrían servir para un mayor reconocimiento contra las organizaciones objetivo.
Los proveedores atacados durante la Operación Exchange Marauder permanecen no revelados. Sin embargo, las campañas anteriores del APT HAFNIUM dan motivos para sospechar que organizaciones de alto perfil ubicadas en EE. UU. podrían estar en el centro de atención. Anteriormente, se identificaron actores de amenazas comprometiendo varios activos a través de EE. UU., incluyendo aquellos relacionados con negocios industriales, instituciones educativas, think tanks y organizaciones no gubernamentales.
Notablemente, aparte del APT HAFNIUM, se identificaron varios otros grupos de hackers enfocados en el ciberespionaje aprovechando las vulnerabilidades de día cero de Microsoft Exchange en la naturaleza. En particular, ESET detectó explotación activa de la falla SSRF (CVE-2021-26855) contra entidades dentro de los EE. UU., Alemania, Francia y Kazajistán.
Detección y Mitigación
Según el aviso de Microsoft, las nuevas vulnerabilidades de día cero afectan las versiones 2010, 2013, 2016 y 2019 de Microsoft Exchange Server. Los parches fuera de banda fueron lanzados el 2 de marzo de 2021, por lo que se insta a los usuarios a actualizar tan pronto como sea posible.o-days affect Microsoft Exchange Server versions 2010, 2013, 2016, and 2019. The out-of-band patches were released on March 2, 2021, so users are urged to upgrade as soon as possible.
En vista de la explotación activa y para facilitar la detección oportuna de ataques, en colaboración con Microsoft, el equipo de SOC Prime lanzó con urgencia un conjunto de reglas Sigma gratuitas para identificar posibles actividades maliciosas relacionadas con las vulnerabilidades de día cero recién descubiertas.
Posible Día Cero Desconocido de Exchange Marzo 2021 (a través de la web)
Posible Webshell de HAFNIUM Marzo 2021 (a través de la web)
Posible Exchange CVE-2021-26858 (a través de evento de archivo)
Powershell Exchange Snapin (a través de cmdline)
Posible Exchange CVE-2021-26858 (a través de auditoría)
Powershell Abre Socket en Crudo (a través de cmdline)
Evento de Fallo Relevante de Día Cero Desconocido de Exchange (a través de aplicación)
UMWorkerProcess Creando un Proceso Hijo Inusual CVE-2021-26857 (a través de cmdline)
Actualización del 18/03/2021: Para mejorar la defensa proactiva contra posibles ataques que aprovechan las vulnerabilidades de día cero de Microsoft Exchange, el desarrollador activo de Threat Bounty de SOC Prime Emir Erdogan lanzó un conjunto de reglas Sigma comunitarias. Explora las detecciones a través de los enlaces a continuación.
Acceso Post-Explotación de Web-Shell a Servidores Exchange (Registros Web de User-Agents)
CVE-2021-27065 Explotado en Servidor Exchange Para Desplegar Webshell CHOPPER
Post Explotación De Microsoft Exchange Hafnium (a través de tarea programada y proxy)
Posible Creación de Archivos Por Procesos Conocidos Colocando Webshells CVE-2021-26858
Mantente al tanto de las últimas actualizaciones del Mercado de Detección de Amenazas y no te pierdas el contenido nuevo del SOC relacionado con estos graves problemas. Todas las nuevas reglas se agregarán a esta publicación.
Obtén una suscripción gratuita al Mercado de Detección de Amenazas, una plataforma líder mundial de Contenido-como-Servicio (CaaS) que agrega más de 96,000 reglas de Detección y Respuesta para la defensa cibernética proactiva. ¿Quieres crear tu propio contenido de detección? Únete a nuestro Programa de Recompensas de Amenazas y contribuye a las iniciativas globales de caza de amenazas.
