Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
marzo
(Total:
63
)
- Herramientas Recuperación y Copia de Seguridad de ...
- El Ayuntamiento de Castellón sufre un ciberataque ...
- Instalar Chrome OS en una Raspberry Pi con FydeOS
- Mejores buscadores avanzados en Internet
- Historia del ransomware Egregor
- Tapjacking: superposiciones overlay y otros engañ...
- RetroShare: una plataforma de mensajería confidencial
- Dos vulnerabilidades críticas en plugin de Faceboo...
- CloudFlare presenta aislamiento del navegador y de...
- Nueva variante de Ransomware en América Latina: M...
- Shell informa de una violación de datos después de...
- Exploits para la vulnerabilidad crítica de F5 BIG-...
- Detienen a Vandathegod acusado de la mayor filtrac...
- Dos graves vulnerabilidades en complementos para W...
- Gestión de paquetes en Debian
- Error en Zoom permite la filtración de información...
- El fabricante Acer afectado por un ataque de ranso...
- Herramientas para escanear y auditar seguridad con...
- Mejores prácticas de seguridad en Docker
- Admitida en Estados Unidos una demanda multimillon...
- Adobe demanda un tweet de Acrobat Reader 1.0 (de h...
- Rclone: herramienta para clonar y sincronizar dire...
- Instalar un servidor VPN en una Raspberry Pi con P...
- Whonix, una distro basada en la seguridad y la pri...
- Opciones firewall para proteger una red: pfSense, ...
- El índice de Reparabilidad para dispositivos y ele...
- Zoom Escaper es un widget para Chrome para añadir ...
- Medidas prevención para evitar que un ransomware c...
- Transportes de Barcelona afectada por un ransomware
- SystemRescue 8.0: distro live rescate GNU-Linux co...
- Rescuezilla: recuperar archivos o hacer backup o i...
- Instalar un portal cautivo en una Raspberry Pi
- Aprovechan las vulnerabilidades de Exchange para s...
- Escritorio Remoto de Chrome para controlar tu PC d...
- Usuaria con apellido TRUE bloquea sistema iCloud d...
- Grave incendio del proveedor OVH en las instalacio...
- El Servicio de Empleo Publico Estatal de España (S...
- Ocultan carga útil de ObliqueRAT en imágenes para ...
- Iberia Plus restablece las contraseñas de sus clie...
- Más de 18.000 aplicaciones de iOS y Android filtra...
- El supervisor bancario europeo sufre un ciberataqu...
- Tres meses sin internet para Alcasec: el castigo a...
- Lord of the Ring(s): Nueva vulnerabilidad descubie...
- El portal Educarm (Murcia) sufre un ataque informá...
- Ventoy: herramienta para crear USB's de arranque c...
- Sistema de archivos para un pendrive, SSD, Disco D...
- Suricata - IDS/IPS - Instalación, configuración bá...
- Snort: Sistema Detección Intrusos (NIDS)
- Desinstalar App Falsa FluBot (Cabassous) de Fedex ...
- Cuatro detenidos en Barcelona por enviar 71.000 me...
- Cambiar un bit en el nombre de dominio para secues...
- ¿Qué es un keylogger? Una herramienta para espiar ...
- Power Automate Desktop permite automatizar tareas ...
- Instalar vscode (Visual Studio Code) y xDebug en K...
- Instalar Android Studio (con AVD - Android Virtual...
- Instalar Discord, Zoom, Tor, Sublime Text, Doom 3,...
- Filtran datos de 21 millones usuarios de VPN's par...
- Ciberactores Chinos atacan servidores de correo Mi...
- Alrededor del 20% de los 18,5 millones de Bitcoin ...
- Instalar complemento Netflix en Kodi en una Raspbe...
- Inteligencia Artificial consigue dar vida en forma...
- China utilizó un exploit 0-Day de la NSA años ante...
- Instalar VMware ESXi en una Raspberry Pi 4
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Ciberactores Chinos atacan servidores de correo Microsoft Exchange
Microsoft ha lanzado parches de emergencia para abordar cuatro fallos de seguridad no reveladas anteriormente en Exchange Server que, según dice, están siendo explotadas activamente por un nuevo actor de amenazas patrocinado por el estado chino con el objetivo de perpetrar el robo de datos. El ataque permite ejecución remota de código sin autenticación previa. Las vulnerabilidades afectan a Microsoft Exchange Server versiones: 2010, 2013, 2016 y 2019. Microsoft Exchange Server 2010 también recibirá el parche a pesar de que está fuera de soporte.
URGENTE: 4 fallos de día 0 explotadas activamente encontradas en Microsoft Exchange
Microsoft Exchange
Microsoft ha lanzado parches de emergencia para abordar cuatro fallas de seguridad no reveladas anteriormente en Exchange Server que, según dice, están siendo explotadas activamente por un nuevo actor de amenazas patrocinado por el estado chino con el objetivo de perpetrar el robo de datos.
Al describir los ataques como "limitados y dirigidos", el Centro de inteligencia de amenazas de Microsoft (MSTIC) dijo que el adversario usó estas vulnerabilidades para acceder a los servidores de Exchange locales, lo que a su vez otorgó acceso a cuentas de correo electrónico y allanó el camino para la instalación de malware adicional para facilitar acceso a largo plazo a los entornos de las víctimas.
HAFNIUM - Actores Chinos atacando servidores de correo
El gigante tecnológico atribuyó principalmente la campaña con gran confianza a un actor de amenazas al que llama HAFNIUM, un colectivo de piratas informáticos patrocinado por el estado que opera desde China, aunque sospecha que otros grupos también pueden estar involucrados.
Al discutir las tácticas, técnicas y procedimientos (TTP) del grupo por primera vez, Microsoft describe a HAFNIUM como un "actor altamente calificado y sofisticado" que destaca principalmente a entidades en los EE. UU. Por filtrar información confidencial de una variedad de sectores de la industria. incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONG.
Se cree que HAFNIUM organiza sus ataques aprovechando servidores privados virtuales alquilados en los EE. UU. En un intento de encubrir su actividad maliciosa.
El ataque de tres etapas implica obtener acceso a un servidor Exchange, ya sea con contraseñas robadas o mediante el uso de vulnerabilidades no descubiertas previamente, seguido de la implementación de un shell web para controlar el servidor comprometido de forma remota. El último eslabón de la cadena de ataque utiliza el acceso remoto para saquear los buzones de correo de la red de una organización y exportar los datos recopilados a sitios para compartir archivos como MEGA.
Ejemplos nombres de WebShells
- web.aspx
- help.aspx
- document.aspx
- errorEE.aspx
- errorEEE.aspx
- errorEW.aspx
- errorFF.aspx
- healthcheck.aspx
- aspnet_www.aspx
- aspnet_client.aspx
- xx.aspx
- shell.aspx
- aspnet_iisstart.aspx
- one.aspx
- Microsoft Exchange Server 2010
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
Para lograr esto, se utilizan hasta cuatro vulnerabilidades de día cero descubiertas por investigadores de Volexity y Dubex como parte de la cadena de ataque:
- CVE-2021-26855: una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) en Exchange Server
- CVE-2021-26857: una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada
- CVE-2021-26858: una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación en Exchange, y
- CVE-2021-27065: una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación en Exchange
Herramienta usadas:
Aunque las vulnerabilidades afectan a Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 y Microsoft Exchange Server 2019, Microsoft dijo que está actualizando Exchange Server 2010 para fines de "Defensa en profundidad".
Microsoft Exchange
Además, dado que el ataque inicial requiere una conexión no confiable al puerto 443 del servidor Exchange, la compañía señala que las organizaciones pueden mitigar el problema restringiendo las conexiones no confiables o usando una VPN para separar el servidor Exchange del acceso externo.
Microsoft, además de enfatizar que los exploits no estaban relacionados con las infracciones relacionadas con SolarWinds, dijo que ha informado a las agencias gubernamentales apropiadas de EE. UU. Sobre la nueva ola de ataques. Pero la compañía no dio más detalles sobre cuántas organizaciones fueron atacadas y si los ataques tuvieron éxito.
Al afirmar que las campañas de intrusión parecían haber comenzado alrededor del 6 de enero de 2021, Volexity advirtió que ha detectado una explotación activa en estado salvaje de múltiples vulnerabilidades de Microsoft Exchange utilizadas para robar correo electrónico y comprometer redes.
"Si bien los atacantes parecen haber volado inicialmente en gran medida por debajo del radar simplemente robando correos electrónicos, recientemente pasaron a lanzar exploits para afianzarse", explicaron los investigadores de Volexity Josh Grunzweig, Matthew Meltzer, Sean Koessel, Steven Adair y Thomas Lancaster en un redacción.
"Desde la perspectiva de Volexity, esta explotación parece involucrar a múltiples operadores que utilizan una amplia variedad de herramientas y métodos para descargar credenciales, moverse lateralmente y otros sistemas de puerta trasera".
Scripts NMap NSE
Aparte de los parches, el analista senior de inteligencia de amenazas de Microsoft Kevin Beaumont también ha creado un complemento nmap que se puede usar para escanear una red en busca de servidores de Microsoft Exchange potencialmente vulnerables.
- https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse
- https://github.com/alt3kx/CVE-2021-21972/blob/main/CVE-2021-21972.nse
- https://github.com/microsoft/CSS-Exchange/blob/main/Security/http-vuln-cve2021-26855.nse
Dada la gravedad de las fallas, no es de extrañar que los parches se hayan implementado una semana antes del horario de Patch Tuesday de la compañía, que generalmente se reserva para el segundo martes de cada mes. Se recomienda a los clientes que utilicen una versión vulnerable de Exchange Server que instalen la actualizaciones de inmediato para frustrar estos ataques.
"Aunque hemos trabajado rápidamente para implementar una actualización para las vulnerabilidades de Hafnium, sabemos que muchos actores estatales y grupos criminales se moverán rápidamente para aprovechar cualquier sistema sin parches", dijo el vicepresidente corporativo de seguridad del cliente de Microsoft, Tom Burt. , dicho. "La aplicación inmediata de los parches actuales es la mejor protección contra este ataque.
Reglas Snort
CVE | SID |
CVE-2021-26855 | 57241, 57242, 57243, 57244, 2305106, 2305107 |
CVE-2021-26857 | 57233, 57234 |
CVE-2021-26858 | 57245, 57246 |
CVE-2021-27065 | 57245, 57246 |
Snort SIDs:
- CVE-2021-26857 — 57233-57234
- CVE-2021-26855 — 57241-57244
- CVE-2021-26858 & CVE-2021-27065 — 57245-57246
- CVE-2021-24085 — 57251
- CVE-2021-27065 — 57252-57253
- Html.Webshell.Hafnium — 57235-57240
Fuentes:
https://thehackernews.com/2021/03/urgent-4-actively-exploited-0-day-flaws.html
https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://isc.sans.edu/diary/27164
https://unit42.paloaltonetworks.com/microsoft-exchange-server-vulnerabilities
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.