Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Juanita Villegas

Asesoramiento sobre amenazas: HAFNIUM y Microsoft Exchange zero-day

Escrito por: Blog Cisco Talos


Microsoft lanzó parches para cuatro vulnerabilidades en Exchange Server el 2 de marzo, revelando que estas vulnerabilidades estaban siendo explotadas por un actor de amenazas previamente desconocido, conocido como HAFNIUM .

Las vulnerabilidades en cuestión ( CVE-2021-26855 , CVE-2021-26857 , CVE-2021-26858 y CVE-2021-27065 ) afectan a Microsoft Exchange Server 2019, 2016, 2013 y al Microsoft Exchange Server 2010 fuera de soporte. Los parches para estas vulnerabilidades deben aplicarse lo antes posible. Microsoft Exchange Online no se ve afectado.

También se han publicado parches para tres vulnerabilidades adicionales en el mismo software: CVE-2021-26412 , CVE-2021-26854 y CVE-2021-27078 . Se cree que estas vulnerabilidades aún no se han explotado en la naturaleza.


DETALLES DE LA ACTIVIDAD DE AMENAZAS


Se ha observado que el actor de la amenaza apunta a una variedad de organizaciones, incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y organizaciones no gubernamentales. Se cree que los ataques que explotan estas vulnerabilidades se remontan al 6 de enero de 2021.

Los ataques comienzan explotando CVE-2021-26855, una vulnerabilidad de falsificación de solicitudes del lado del servidor, o abusando de contraseñas robadas. Esta vulnerabilidad se aprovecha al enviar una carga útil XML SOAP especialmente diseñada a la API de servicios web de Exchange que se ejecuta en Exchange Server. Se ha observado que el actor de la amenaza utiliza servidores privados virtuales alquilados dentro de los Estados Unidos y se conecta al puerto TCP 443 (HTTPS) en los servidores vulnerables para llevar a cabo los ataques.

Después del ataque inicial, el actor de la amenaza ha pasado por alto la autenticación y puede realizar operaciones en los buzones de correo de los usuarios, como descargar mensajes. Posteriormente, el actor de amenazas explota vulnerabilidades adicionales, incluida la vulnerabilidad de ejecución remota de código CVE-2021-26857 para ejecutar instrucciones como SYSTEM, y las vulnerabilidades de escritura de archivos arbitrarios CVE-2021-26858 y CVE-2021-27065 para cargar webshells en el host comprometido. Esto permite al actor de la amenaza ejecutar instrucciones adicionales en los dispositivos comprometidos.

Se ha observado a los atacantes volcando la memoria del proceso LSASS con Procdump y comsvcs.dll, usando 7-Zip y WinRar para comprimir datos robados para su exfiltración, usando PsExec y PowerCat para conectarse y enviar comandos a sistemas remotos, usando PowerShell y el marco Nishang para hacer cambios que incluyen la creación de un shell inverso y la creación de nuevas cuentas de usuario.


MITIGACIÓN DE AMENAZAS


Todas las organizaciones que utilizan el software afectado deben evitar el acceso externo al puerto 443 en los servidores Exchange o configurar una VPN para proporcionar acceso externo al puerto 443. Esto garantizará que solo los usuarios autenticados y autorizados puedan conectarse a este servicio. Sin embargo, esta acción solo protegerá contra el paso inicial del ataque.

Los administradores deben aplicar inmediatamente los parches publicados a los servidores Exchange vulnerables. Esto requerirá llevar los dispositivos al nivel de parche necesario mediante la aplicación de parches anteriores, si aún no se han aplicado.

Cisco ha estado monitoreando de cerca la situación y ha lanzado protección contra la amenaza como se detalla en la sección de cobertura.

COBERTURA

Esnifar SID:

  • CVE-2021-26857 - 57233-57234

  • CVE-2021-26855 - 57241-57244

  • CVE-2021-26858 y CVE-2021-27065 - 57245-57246

  • CVE ‑ 2021‑24085‑57251

  • CVE-2021-27065 - 57252-57253

  • Html.Webshell.Hafnium - 57235-57240

Cisco Secure Endpoint (anteriormente AMP):

Archivos maliciosos detectados como:

  • Nombre de la amenaza: Html.Webshell.HAFNIUM.DRT.Talos

Firmas de protección del comportamiento:

  • Cadena de descarga de PowerShell

  • Argumento de GitHub sin procesar

  • RunDLL32 proceso sospechoso

  • CVE-2021-26858 Explotación potencial

  • CVE-2021-26857 Explotación potencial

  • Carcasa inversa Nishang Powershell

ClamAV:

  • Win.ASP.MSExchangeExploit *

Lista de bloqueo de inteligencia de seguridad de Talos

Direcciones IP bloqueadas como Clasificación: Atacantes

Cisco Umbrela

Direcciones IP bloqueadas como Categoría de seguridad: Comando y control Tipos de amenazas: Cuentagotas

Los servicios de respuesta ante incidentes de Cisco están disponibles para ayudar a las organizaciones a responder y recuperarse de un incidente. Además, los servicios de respuesta a incidentes se pueden utilizar para ayudar a las organizaciones a prepararse para los ataques y para probar los procedimientos existentes.


Los dispositivos Cisco Secure Firewall / Secure IPS (Network Security) como el Firewall de próxima generación ( NGFW ), el Sistema de prevención de intrusiones de próxima generación ( NGIPS ), Cisco ISR y Meraki MX pueden detectar actividad maliciosa asociada con esta amenaza.

Cisco Secure Endpoint es ideal para prevenir la ejecución del malware que se detalla en esta publicación. Los usuarios de esta solución pueden utilizar Orbital Advanced Search para ejecutar OSqueries complejas para ver si sus puntos finales están infectados con esta amenaza específica. Pruebe Cisco Secure Endpoint de forma gratuita aquí .

Cisco AMP para redes puede detectar software malintencionado cuando atraviesa la red.

Cisco Secure X ofrece a los equipos de seguridad una ubicación única para identificar amenazas, realizar flujos de trabajo automatizados y remediar incidentes.

Cisco Secure Malware Analytics ( Threat Grid ) ayuda a identificar binarios maliciosos y a incorporar protección en todos los productos de seguridad de Cisco.

Cisco Secure Network Analytics (Stealthwatch) utiliza una variedad de procesos analíticos para identificar comportamientos anómalos y maliciosos que ocurren en la red.

Cisco Secure Workload (Tetration), puede identificar el comportamiento anómalo de los sistemas afectados y resaltar los sistemas que requieren parches.

Cisco Umbrella , nuestra puerta de enlace segura a Internet (SIG), impide que los usuarios y los sistemas se conecten a dominios e IP maliciosos.

Las protecciones adicionales con contexto para su entorno específico y datos de amenazas están disponibles en Firepower Management Center .

Los clientes de Open Source Snort Subscriber Rule Set pueden mantenerse actualizados descargando el último paquete de reglas disponible para su compra en Snort.org .

Fuente: https://blog.talosintelligence.com/2021/03/threat-advisory-hafnium-and-microsoft.html

13 vistas0 comentarios