Microsoft ha lanzado parches de emergencia para cuatro vulnerabilidades de día 0 encontradas en el código del servidor de correo Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, y CVE-2021-27065).
La empresa advirtió que los piratas informáticos chinos del grupo Hafnium ya están explotando estos problemas. Para iniciar el ataque, Los piratas informáticos sólo necesitan obtener acceso al servidor local de Microsoft Exchange en el puerto 443.
- CVE-2021-26855 – Vulnerabilidad SSRF que permitía enviar solicitudes HTTP arbitrarias y eludir la autenticación.
- CVE-2021-26857 – Problema de deserialización de mensajería unificada. El uso de este error le dio a un hacker la capacidad de ejecutar código con privilegios de SISTEMA en el servidor Exchange.. Para que el exploit funcione correctamente, Se requirieron derechos de administrador u otra vulnerabilidad..
- CVE-2021-26858 – Una vulnerabilidad de escritura de archivos arbitraria (después de la autenticación con Exchange).
- CVE-2021-27065 es otra vulnerabilidad de escritura aleatoria de archivos (también después de autenticarse con Exchange).
Previamente, este grupo de hackers atacó a varias organizaciones estadounidenses, incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, think tanks políticos y ONG.
Los últimos ataques con hafnio se registraron ya en 2021, y explotaron las cuatro vulnerabilidades de día cero en Exchange.
Habiéndose asegurado en el servidor Exchange, los delincuentes robaron el contenido de buzones y libretas de direcciones, transfiriendo esta información a su servidor remoto (La mayoría de las veces se utilizaron servicios de alojamiento de archivos como Mega para este propósito.).
Los primeros ataques a sus clientes’ Los servidores fueron descubiertos por especialistas de Volexity., que ya se han preparado su propio informe en esta campaña maliciosa. Microsoft también informa que recibió una advertencia sobre los ataques de los expertos de la firma danesa Dubex..
Junto con las vulnerabilidades mencionadas anteriormente en Exchange, los desarrolladores han solucionado otros tres errores (CVE-2021-27078, CVE-2021-26854 y CVE-2021-26412) descubierto durante la investigación del incidente.
Los ingenieros de Microsoft recomiendan que los administradores instalen parches lo antes posible, o al menos puerto seguro 443 de posibles ataques.
Déjame recordarte que hablé del hecho de que Microsoft dejó abierto uno de los servidores internos del buscador Bing.