Un aviso reciente de parte de la empresa vietnamita de ciberseguridad GTSC, alertó sobre un ataque no revelado a los servidores de Microsoft Exchange, en el cual los investigadores de GTSC descubrieron los fallos. Según su informe estos fallos son consecuencias que parten de los esfuerzos de Microsoft de supervisión de la seguridad y respuesta a incidentes ocurridos el pasado mes de agosto.
Las deficiencias han permitido que los servidores de la compañía estén siendo explotados por actores maliciosos en ataques del mundo real para lograr la ejecución remota de código en los sistemas afectados.
Son dos vulnerabilidades, a las que formalmente aún no se les ha asignado identificadores CVE, están siendo rastreadas por la Iniciativa Día Cero como ZDI-CAN-18333 (puntuación CVSS: 8,8) y ZDI-CAN-18802 (puntuación CVSS: 6,3).
La GTSC señaló que la explotación exitosa de los defectos podría ser aprovechada para ganar un punto de apoyo en los sistemas de la víctima, permitiendo a los adversarios lanzar web shells y llevar a cabo movimientos laterales a través de la red comprometida.
"Detectamos shells web, en su mayoría ofuscados, que se lanzaban a los servidores Exchange", señaló la empresa. "Utilizando el agente de usuario, detectamos que el atacante utiliza Antsword, una herramienta de administración de sitios web de código abierto basada en China que soporta la gestión de web shells".
Se dice que las solicitudes de explotación en los registros de IIS aparecen en el mismo formato que las vulnerabilidades de ProxyShell Exchange Server y GTSC señaló que los servidores objetivo ya habían sido parcheados contra las fallas que salieron a la luz en abril de 2021.
La empresa de ciberseguridad teorizó que los ataques probablemente se originan en un grupo de hackers chinos debido a la codificación del shell web en chino simplificado (página 936 del Código de Windows).
En los ataques también se utiliza la shell web China Chopper, una puerta trasera ligera que puede conceder acceso remoto persistente y permitir a los atacantes volver a conectarse en cualquier momento para seguir explotando el sistema.
Cabe señalar que el shell web China Chopper también fue desplegado por Hafnium, un presunto grupo patrocinado por el Estado que opera desde China, cuando las vulnerabilidades de ProxyLogon fueron objeto de una explotación generalizada el año pasado.
Otras actividades posteriores a la explotación observadas por GTSC implican la inyección de DLLs maliciosas en la memoria, la caída y la ejecución de cargas útiles adicionales en los servidores infectados utilizando la utilidad de línea de comandos WMI (WMIC).
La compañía dijo que al menos más de una organización ha sido víctima de una campaña de ataque aprovechando los fallos de día cero. Se han ocultado detalles adicionales sobre los fallos a la luz de la explotación activa.
Mientras tanto, como solución temporal, se recomienda añadir una regla para bloquear las solicitudes con indicadores de compromiso utilizando el módulo de Reglas de Reescritura de URL para los servidores IIS.
En Autodiscover en FrontEnd, seleccionar la pestaña Reescritura de URL y luego seleccionar Bloqueo de solicitudes
Añadir la cadena ".autodiscover.json.\@.Powershell." a la ruta de la URL
Condición de entrada: Seleccionar {REQUEST_URI}
"Puedo confirmar que un número significativo de servidores Exchange han sido backdoored - incluyendo un honeypot", dijo el investigador de seguridad Kevin Beaumont en una serie y agregó, "parece una variante de proxy a la interfaz de administración de nuevo."
"Si no ejecuta Microsoft Exchange en las instalaciones, y no tiene Outlook Web App de cara a Internet, no está afectado", aseguró Beaumont.