Llegamos a ustedes gracias a:



Alertas de Seguridad

Cómo parchear Exchange Server

Por el ataque de día cero Hafnium

[09/03/2021] Los administradores que utilizan Microsoft Exchange Server en sus instalaciones amanecieron el 2 de marzo con un duro despertar: Algunos de ellos tienen ahora incidentes que investigar. A partir del 28 de febrero, y posiblemente antes, los servidores Exchange fueron objeto de un ataque generalizado que se basaba en el aprovechamiento de una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) de día cero. Microsoft ha atribuido el ataque a Hafnium, un grupo APT chino.

Aunque Microsoft indicó originalmente que se trataba de un ataque dirigido contra tipos específicos de industrias y empresas, tengo informes de consultores de muchas pequeñas y medianas empresas que han encontrado pruebas de explotación.

Según estos informes, los atacantes parecen haber ampliado su secuencia de ataque una vez que el día cero se hizo público. La Casa Blanca lo confirmó en su rueda de prensa del 5 de marzo, y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) publicó una directiva de emergencia con orientaciones e información sobre el ataque el 2 de marzo.

Solo porque usted no sea normalmente una empresa objetivo, preste atención e investigue si tiene un servidor Exchange local. Si no ha aplicado el parche, hágalo ahora. Si ha aplicado el parche, es posible que tenga que tomar medidas para determinar si se ha visto afectado.

Los ataques parecen haberse dirigido más a Exchange 2013 y 2016. Esto podría deberse al número de servidores que las empresas tienen instalados en lugar de dirigirse a una versión en lugar de otra. Exchange 2019 también está en riesgo. Exchange 2010 no tiene las mismas vulnerabilidades que las otras versiones, pero está recibiendo parches como medida de defensa en profundidad. Las versiones más antiguas de Exchange, aunque están fuera de soporte, no son vulnerables a este problema.

Cómo aplicar los parches de emergencia de Exchange Server

Si aún no ha aplicado el parche, hágalo ahora y desactive Exchange Server o bloquee el puerto 443 de ese servidor hasta que pueda parcharlo. Para aquellos que no puedan parchear sus sistemas, Microsoft ha proporcionado un proceso de mitigación.

La mejor manera de instalar parches en Exchange es desde el símbolo del sistema utilizando la línea de comandos. El simple hecho de hacer clic en el parche para instalarlo como un parche de actualización normal de Windows no funcionará. Asegúrese de tener derechos elevados al actualizar, de lo contrario el parche no le protegerá. Además, si instala la actualización y no tiene derechos elevados durante la instalación, podría dejar los servicios deshabilitados y Outlook Web Access (OWA) sin funcionar. Es posible que tengas que realizar pasos adicionales como los siguientes para que su servidor vuelva a funcionar:

Si OWA no es funcional, ejecute:

C:\NArchivos de programa\NMicrosoft\NExchange Server\V15\Bin\NUpdateCas.ps1

Siga estos pasos para corregir las BinSearchFolders en la configuración de la aplicación Internet Information Server (IIS) para arreglar el Panel de control de Exchange (ECP) después de instalar la actualización:

  • Abra el Administrador de IIS y expanda a "Sitios" y luego a "Exchange Back End".
  • Haga clic en "ECP". Abra la "Configuración de la aplicación" en "/ECP Home".
  • Compruebe si el valor de "BinSearchFolders" está cambiado a rutas no absolutas. Si es así, cámbielo por la ruta/unidad correcta de Exchange Server:

C:\Program Files\Microsoft\Exchange Server\V15\bin;C:\Program Files\Microsoft\Exchange Server\V15\bin\CmdletExtensionAgents;C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\bin

  • Ejecutar IISReset

Cómo saber si Exchange Server ha sido comprometido

Si no ha aplicado el parche, comience por desconectar su servidor para iniciar el proceso de investigación y asegurarse de que no ha sido comprometido. A continuación, ejecute una secuencia de comandos del soporte de Microsoft para Exchange que indica si tiene archivos sospechosos en su servidor. El script comprueba los signos de la intrusión. Sin embargo, hay matices. Los administradores de TI que han encontrado indicios del ataque en sus sistemas dicen que las pruebas dejadas van desde indicios de sondas hasta tomas de posesión del sistema.

Un administrador informó que cuando el script de PowerShell indicó que estaba "Buscando CVE-2021-26855 en los registros de HttpProxy" en su entorno, le alertó para que investigara el archivo de registro proporcionado. Ese archivo de registro tenía referencias a "AnchorMailbox" y "GetObject", por lo que parece ser simplemente una sonda para ver si el servidor es vulnerable para el ataque.

Exchange Server, Hafnium

Sin embargo, si revisa las carpetas en C:\inetpub\wwwroot\aspnet_client\system_web\ y encuentra archivos aspx de ocho caracteres, considere que ha sido infiltrado por el atacante, y que Exchange Server y potencialmente otros servidores de la red son sospechosos. Parchear la máquina en este estado no eliminará la persistencia que el atacante ha establecido.

Algunos ejemplos de archivos en esta ubicación son

C:\inetpub\wwwroot\aspnet_client\supp0rt.aspx

C:\inetpub\wwwroot\aspnet_client\system_web\sKPt5ZmI.aspx

Si ve estos archivos de ocho caracteres en la raíz del directorio aspnet_client, es una señal de que los atacantes han creado potencialmente una persistencia en ese Exchange Server y otros servidores. Si su empresa tiene una cobertura de ciberseguro, desgraciadamente ha llegado el momento de averiguar la calidad de esa póliza de seguro.

La empresa Huntress ha estado actualizando regularmente un hilo de Reddit sobre su análisis de la situación. Los investigadores de Huntress han indicado que los atacantes utilizaron ProcDump para capturar las credenciales y los hash almacenados en la memoria del proceso LSASS. Es posible que tenga que determinar cuánto tiempo estuvieron los atacantes en su red y qué acciones realizaron mientras estaban allí.

Si cree que su sistema fue afectado, como mínimo restaure Exchange Server a un punto en el tiempo antes del incidente. Revise otros servidores de su red en busca de pruebas de movimiento lateral en los registros de eventos. Revise el Directorio Activo (AD) en busca de cualquier cuenta creada en los últimos siete días o cualquier cuenta elevada a derechos adicionales en su red en los últimos siete días. A continuación, cambie todas las contraseñas de AD.

Mientras revisa las contraseñas, considere sus opciones para aumentar la seguridad de las mismas, y revise la posibilidad de utilizar soluciones sin contraseña como Windows Hello u otras opciones de dos factores. Es posible que tenga que revisar si necesita cambiar a una solución Azure AD/híbrida para utilizar métodos de autenticación modernos que protejan y defiendan mejor de las técnicas de recolección de contraseñas.

La Alerta CISA (AA21-062A), Mitigar las vulnerabilidades de Microsoft Exchange Server, enumera información de mitigación y orientación para tomar una imagen forense de los servidores. También tiene enlaces a herramientas de investigación. Microsoft también ha actualizado su Safety Scanner para buscar rastros de este ataque. Otra herramienta que puede utilizar para buscar problemas es el escáner Thor lite de Nextron, y puede revisar los registros de IIS en busca de rastros de ataques.

Conclusión: No asuma que este ataque a Exchange Server ha afectado a los "grandes". Estos atacantes parecen haber ido a por cualquiera que tenga un servidor Exchange, sea grande o pequeño. Si ejecuta Exchange Server en sus instalaciones, tome medidas forenses ahora para revisar si ha sido afectado.