Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Aprovechan las vulnerabilidades de Exchange para secuestrar miles de servidores de correo electrónico




Investigadores de ESET han descubierto más de una decena de grupos APT explotando las vulnerabilidades de Microsoft Exchange con el objetivo de comprometer servidores de correo. En total, se han descubierto más de 5.000 servidores de correo repartidos por todo el mundo que han sido afectados por este incidente, por lo que la amenaza no se reduce al grupo Chino Hafnium, como parecía en un principio.



Microsoft publicó varias vulnerabilidades de tipo zero-day que afectan a Microsoft Exchange Server, ya que ha detectado un grupo APT patrocinado por el estado de China conocido como Hafnium que está explotando estas vulnerabilidades contra organizaciones estadounidenses, desde servidores privados virtuales (VPS) alquilados en Estados Unidos, con el fin de robar información.

Se trata de cuatro vulnerabilidades de día cero: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065; que explotándolas de forma combinada, pueden dar acceso a los servidores de Microsoft Exchange, robar las credenciales de acceso al correo electrónico e introducir malware para aumentar el acceso a la red.

A principios de este mes, Microsoft lanzó un conjunto de parches para las versiones 2013, 2016 y 2019 de Exchange Server y que servían para resolver una serie de vulnerabilidades que permitirían la ejecución de código remoto. Estas vulnerabilidades permitirían a los atacantes tomar el control de cualquier servidor Exchange sin necesidad de conocer las credenciales de autenticación, por lo que los servidores de Exchange conectados a Internet se convirtieron en especialmente vulnerables.

El día después de publicar los parches, comenzamos a observar a varios grupos de delincuentes escanear y comprometer de forma masiva  servidores Exchange. Curiosamente, todos estos ataques estaban siendo llevados a cabo por grupos APT especializados en espionaje, excepto uno que suele realizar campañas de minería de criptomonedas. Sin embargo, es inevitable pensar que cada vez se unan a los ataques más grupos, incluyendo operadores de ransomware”, advierte Matthieu Faou, investigador de ESET que está liderando el análisis de esta cadena de vulnerabilidades contra Exchange. “ESET descubrió que algunos grupos APT estaban explotando las vulnerabilidades incluso antes de que se publicaran los parches, lo que descarta la posibilidad de que esos grupos hayan preparado los exploits aplicando ingeniería inversa a las actualizaciones de Microsoft”.



La telemetría de ESET descubrió la presencia de webshells (programas maliciosos o scripts que permiten el control remoto de un servidor desde un navegador) en alrededor de 5.000 servidores en más de 115 países y que estarían siendo utilizadas por más de diez grupos APT.



Los grupos identificados hasta ahora son:

  • LuckyMouse: ha comprometido un servidor de correo en una entidad gubernamental de Oriente Medio. Parece ser que tuvo acceso al exploit al menos un día antes de la publicación de los parches por parte de Microsoft, cuando se trataba aún de un zero-day.
  • Calypso: ha comprometido servidores de correo en entidades gubernamentales de Oriente Medio y Suramérica. Parecer ser que el grupo tuvo acceso al exploit como un zero-day. Posteriormente, este grupo atentó contra entidades públicas y privadas en África, Asia y Europa.
  • Tick: ha comprometido un servidor web de una compañía asiática de servicios tecnológicos. De igual manera que LuckyMouse o Calypso, parecer ser que este grupo tuvo acceso al exploit antes de la publicación de los parches.
  • Websiic: ha atacado a siete servidores de correo de empresas privadas relacionadas con la tecnología, las telecomunicaciones y la ingeniería en Asia y de una entidad pública en Europa Oriental.
  • Winnti Group: ha comprometido los servidores de correo de una compañía petrolífera y de un fabricante de equipamientos de construcción en Asia. Parecer ser que el grupo tuvo acceso al exploit antes de la publicación de los parches.

  • Tonto Team: han comprometido servidores de correo de una empresa de compras y de una consultora especializada en el desarrollo de software y ciberseguridad en Europa Oriental.
  • ShadowPad: ha comprometido los servidores de correo de un desarrollador de software asiático y de una inmobiliaria de Oriente Medio. ESET ha detectado una variante de la backdoor de ShadowPad desplegada por un grupo desconocido.
  • Opera Cobalt Strike: atacó a alrededor de 650 servidores en Europa y EEUU unas horas después de que los parches se publicaran.
  • Backdoors de IIS: ESET ha observado backdoors de IIS instalados a través de webshells en cuatro servidores de correo en Asia y Suramérica; una de las backdoors se conoce como Owlproxy.
  • Mikroceen: ha comprometido el servidor de una compañía energética de Asia Central, la zona en la que este grupo opera normalmente.
  • DLTMiner: ESET ha detectado el despliegue de downloaders PowerShell en diferentes servidores de correo a los que se había intentado acceder mediante las vulnerabilidades de Exchange. La infraestructura de red utilizada en este ataque se usó ya en otra campaña de minería de criptomonedas.

Herramienta para comprobar - Check Your OWA.

Desde unit221b han decidido lanzar «Check Your OWA» para que podamos comprar si nuestros servidores de Exchange están o no comprometidos por estas vulnerabilidades.

Se trata de un servicio para ayudar en la notificación de víctimas en función de listas de servidores Exchange comprometidos con Outlook Web Access (OWA) habilitado. Esto incluye las direcciones IP / dominios afectados, así como si los actores de esta primera ola de ataques cargaron correctamente un shell. 

El servicio no realiza ningún escaneo en vivo de nuestro servidor Exchange, y si parcheamos la vulnerabilidad con éxito, es posible que, aún así, sigamos apareciendo. 

¿Cómo lo uso?

Hay dos formas de saber si aparecemos en la lista. Accedemos a la web directamente desde nuestro servidor Exchange y compararán nuestra dirección IP con su lista. En caso de coincidencia, el sitio generará una ventana emergente con una advertencia. 

La segunda forma es ingresar una dirección de correo electrónico y nos enviarán un correo electrónico con la respuesta. El correo electrónico le dirá si su dominio coincide con alguno de la lista. Como esta es una situación en evolución y cada día se piratean más máquinas, si no aparece en la lista y ejecuta un servidor Exchange, eso no significa que esté seguro.

Herramienta de Microsoft

Microsoft ha actualizado su herramienta que permite realizar escaneos de seguridad (MSERT, del inglés, Microsoft Emergency Response Tool), para detectar las posibles webshells de ProxyLogon que puedan existir, y posteriormente eliminarlas.

Microsoft, entre otras medidas de seguridad a aplicar como mitigación, recomienda realizar un escaneo completo con la herramienta MSERT. En el supuesto que solo se quiera analizar el compromiso de ProxyLogon, Microsoft recomienda realizar un análisis de las siguientes rutas, teniendo en cuenta lo observado durante los ataques ya realizados:

  • %Ruta de instalación de IIS Server%\aspnet_client\*
  • %Ruta de instalación de IIS Server%\aspnet_client\system_web\*
  • %Ruta de instalación de Exchange Server%\FrontEnd\HttpProxy\owa\auth\*
  • Ruta temporal configurada en ASP.NET
  • %Ruta de instalación de Exchange Server%\FrontEnd\HttpProxy\ecp\auth\*

Además de la herramienta de Microsoft, el CERT Latvia ha publicado un script escrito en PowerShell que también permite detectar posibles webshells en servidores afectados. Se puede acceder a dicho script a través de su propio repositorio de GitHub.


Módulo para MetasPloit

Herramientas utilizadas WebShell Payload

Fuentes:

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.