Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
marzo
(Total:
63
)
- Herramientas Recuperación y Copia de Seguridad de ...
- El Ayuntamiento de Castellón sufre un ciberataque ...
- Instalar Chrome OS en una Raspberry Pi con FydeOS
- Mejores buscadores avanzados en Internet
- Historia del ransomware Egregor
- Tapjacking: superposiciones overlay y otros engañ...
- RetroShare: una plataforma de mensajería confidencial
- Dos vulnerabilidades críticas en plugin de Faceboo...
- CloudFlare presenta aislamiento del navegador y de...
- Nueva variante de Ransomware en América Latina: M...
- Shell informa de una violación de datos después de...
- Exploits para la vulnerabilidad crítica de F5 BIG-...
- Detienen a Vandathegod acusado de la mayor filtrac...
- Dos graves vulnerabilidades en complementos para W...
- Gestión de paquetes en Debian
- Error en Zoom permite la filtración de información...
- El fabricante Acer afectado por un ataque de ranso...
- Herramientas para escanear y auditar seguridad con...
- Mejores prácticas de seguridad en Docker
- Admitida en Estados Unidos una demanda multimillon...
- Adobe demanda un tweet de Acrobat Reader 1.0 (de h...
- Rclone: herramienta para clonar y sincronizar dire...
- Instalar un servidor VPN en una Raspberry Pi con P...
- Whonix, una distro basada en la seguridad y la pri...
- Opciones firewall para proteger una red: pfSense, ...
- El índice de Reparabilidad para dispositivos y ele...
- Zoom Escaper es un widget para Chrome para añadir ...
- Medidas prevención para evitar que un ransomware c...
- Transportes de Barcelona afectada por un ransomware
- SystemRescue 8.0: distro live rescate GNU-Linux co...
- Rescuezilla: recuperar archivos o hacer backup o i...
- Instalar un portal cautivo en una Raspberry Pi
- Aprovechan las vulnerabilidades de Exchange para s...
- Escritorio Remoto de Chrome para controlar tu PC d...
- Usuaria con apellido TRUE bloquea sistema iCloud d...
- Grave incendio del proveedor OVH en las instalacio...
- El Servicio de Empleo Publico Estatal de España (S...
- Ocultan carga útil de ObliqueRAT en imágenes para ...
- Iberia Plus restablece las contraseñas de sus clie...
- Más de 18.000 aplicaciones de iOS y Android filtra...
- El supervisor bancario europeo sufre un ciberataqu...
- Tres meses sin internet para Alcasec: el castigo a...
- Lord of the Ring(s): Nueva vulnerabilidad descubie...
- El portal Educarm (Murcia) sufre un ataque informá...
- Ventoy: herramienta para crear USB's de arranque c...
- Sistema de archivos para un pendrive, SSD, Disco D...
- Suricata - IDS/IPS - Instalación, configuración bá...
- Snort: Sistema Detección Intrusos (NIDS)
- Desinstalar App Falsa FluBot (Cabassous) de Fedex ...
- Cuatro detenidos en Barcelona por enviar 71.000 me...
- Cambiar un bit en el nombre de dominio para secues...
- ¿Qué es un keylogger? Una herramienta para espiar ...
- Power Automate Desktop permite automatizar tareas ...
- Instalar vscode (Visual Studio Code) y xDebug en K...
- Instalar Android Studio (con AVD - Android Virtual...
- Instalar Discord, Zoom, Tor, Sublime Text, Doom 3,...
- Filtran datos de 21 millones usuarios de VPN's par...
- Ciberactores Chinos atacan servidores de correo Mi...
- Alrededor del 20% de los 18,5 millones de Bitcoin ...
- Instalar complemento Netflix en Kodi en una Raspbe...
- Inteligencia Artificial consigue dar vida en forma...
- China utilizó un exploit 0-Day de la NSA años ante...
- Instalar VMware ESXi en una Raspberry Pi 4
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Aprovechan las vulnerabilidades de Exchange para secuestrar miles de servidores de correo electrónico
Investigadores de ESET han descubierto más de una decena de grupos APT explotando las vulnerabilidades de Microsoft Exchange con el objetivo de comprometer servidores de correo. En total, se han descubierto más de 5.000 servidores de correo repartidos por todo el mundo que han sido afectados por este incidente, por lo que la amenaza no se reduce al grupo Chino Hafnium, como parecía en un principio.
Microsoft publicó varias vulnerabilidades de tipo zero-day que afectan a Microsoft Exchange Server, ya que ha detectado un grupo APT patrocinado por el estado de China conocido como Hafnium que está explotando estas vulnerabilidades contra organizaciones estadounidenses, desde servidores privados virtuales (VPS) alquilados en Estados Unidos, con el fin de robar información.
Se trata de cuatro vulnerabilidades de día cero: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065; que explotándolas de forma combinada, pueden dar acceso a los servidores de Microsoft Exchange, robar las credenciales de acceso al correo electrónico e introducir malware para aumentar el acceso a la red.
A principios de este mes, Microsoft lanzó un conjunto de parches para las versiones 2013, 2016 y 2019 de Exchange Server y que servían para resolver una serie de vulnerabilidades que permitirían la ejecución de código remoto. Estas vulnerabilidades permitirían a los atacantes tomar el control de cualquier servidor Exchange sin necesidad de conocer las credenciales de autenticación, por lo que los servidores de Exchange conectados a Internet se convirtieron en especialmente vulnerables.
“El día después de publicar los parches, comenzamos a observar a varios grupos de delincuentes escanear y comprometer de forma masiva servidores Exchange. Curiosamente, todos estos ataques estaban siendo llevados a cabo por grupos APT especializados en espionaje, excepto uno que suele realizar campañas de minería de criptomonedas. Sin embargo, es inevitable pensar que cada vez se unan a los ataques más grupos, incluyendo operadores de ransomware”, advierte Matthieu Faou, investigador de ESET que está liderando el análisis de esta cadena de vulnerabilidades contra Exchange. “ESET descubrió que algunos grupos APT estaban explotando las vulnerabilidades incluso antes de que se publicaran los parches, lo que descarta la posibilidad de que esos grupos hayan preparado los exploits aplicando ingeniería inversa a las actualizaciones de Microsoft”.
La telemetría de ESET descubrió la presencia de webshells (programas maliciosos o scripts que permiten el control remoto de un servidor desde un navegador) en alrededor de 5.000 servidores en más de 115 países y que estarían siendo utilizadas por más de diez grupos APT.
Los grupos identificados hasta ahora son:
- LuckyMouse: ha comprometido un servidor de correo en una entidad gubernamental de Oriente Medio. Parece ser que tuvo acceso al exploit al menos un día antes de la publicación de los parches por parte de Microsoft, cuando se trataba aún de un zero-day.
- Calypso: ha comprometido servidores de correo en entidades gubernamentales de Oriente Medio y Suramérica. Parecer ser que el grupo tuvo acceso al exploit como un zero-day. Posteriormente, este grupo atentó contra entidades públicas y privadas en África, Asia y Europa.
- Tick: ha comprometido un servidor web de una compañía asiática de servicios tecnológicos. De igual manera que LuckyMouse o Calypso, parecer ser que este grupo tuvo acceso al exploit antes de la publicación de los parches.
- Websiic: ha atacado a siete servidores de correo de empresas privadas relacionadas con la tecnología, las telecomunicaciones y la ingeniería en Asia y de una entidad pública en Europa Oriental.
- Winnti Group: ha comprometido los servidores de correo de una compañía petrolífera y de un fabricante de equipamientos de construcción en Asia. Parecer ser que el grupo tuvo acceso al exploit antes de la publicación de los parches.
- Tonto Team: han comprometido servidores de correo de una empresa de compras y de una consultora especializada en el desarrollo de software y ciberseguridad en Europa Oriental.
- ShadowPad: ha comprometido los servidores de correo de un desarrollador de software asiático y de una inmobiliaria de Oriente Medio. ESET ha detectado una variante de la backdoor de ShadowPad desplegada por un grupo desconocido.
- Opera Cobalt Strike: atacó a alrededor de 650 servidores en Europa y EEUU unas horas después de que los parches se publicaran.
- Backdoors de IIS: ESET ha observado backdoors de IIS instalados a través de webshells en cuatro servidores de correo en Asia y Suramérica; una de las backdoors se conoce como Owlproxy.
- Mikroceen: ha comprometido el servidor de una compañía energética de Asia Central, la zona en la que este grupo opera normalmente.
- DLTMiner: ESET ha detectado el despliegue de downloaders PowerShell en diferentes servidores de correo a los que se había intentado acceder mediante las vulnerabilidades de Exchange. La infraestructura de red utilizada en este ataque se usó ya en otra campaña de minería de criptomonedas.
Herramienta para comprobar - Check Your OWA.
Desde unit221b han decidido lanzar «Check Your OWA» para que podamos comprar si nuestros servidores de Exchange están o no comprometidos por estas vulnerabilidades.
Se trata de un servicio para ayudar en la notificación de víctimas en función de listas de servidores Exchange comprometidos con Outlook Web Access (OWA) habilitado. Esto incluye las direcciones IP / dominios afectados, así como si los actores de esta primera ola de ataques cargaron correctamente un shell.
El servicio no realiza ningún escaneo en vivo de nuestro servidor Exchange, y si parcheamos la vulnerabilidad con éxito, es posible que, aún así, sigamos apareciendo.
¿Cómo lo uso?
Hay dos formas de saber si aparecemos en la lista. Accedemos a la web directamente desde nuestro servidor Exchange y compararán nuestra dirección IP con su lista. En caso de coincidencia, el sitio generará una ventana emergente con una advertencia.
La segunda forma es ingresar una dirección de correo electrónico y nos enviarán un correo electrónico con la respuesta. El correo electrónico le dirá si su dominio coincide con alguno de la lista. Como esta es una situación en evolución y cada día se piratean más máquinas, si no aparece en la lista y ejecuta un servidor Exchange, eso no significa que esté seguro.
Herramienta de Microsoft
Microsoft ha actualizado su herramienta que permite realizar escaneos de seguridad (MSERT, del inglés, Microsoft Emergency Response Tool), para detectar las posibles webshells de ProxyLogon que puedan existir, y posteriormente eliminarlas.
Microsoft, entre otras medidas de seguridad a aplicar como mitigación, recomienda realizar un escaneo completo con la herramienta MSERT. En el supuesto que solo se quiera analizar el compromiso de ProxyLogon, Microsoft recomienda realizar un análisis de las siguientes rutas, teniendo en cuenta lo observado durante los ataques ya realizados:
- %Ruta de instalación de IIS Server%\aspnet_client\*
- %Ruta de instalación de IIS Server%\aspnet_client\system_web\*
- %Ruta de instalación de Exchange Server%\FrontEnd\HttpProxy\owa\auth\*
- Ruta temporal configurada en ASP.NET
- %Ruta de instalación de Exchange Server%\FrontEnd\HttpProxy\ecp\auth\*
Además de la herramienta de Microsoft, el CERT Latvia ha publicado un script escrito en PowerShell que también permite detectar posibles webshells en servidores afectados. Se puede acceder a dicho script a través de su propio repositorio de GitHub.
Módulo para MetasPloit
Herramientas utilizadas WebShell Payload
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.