Microsoft Exchange Bajo Fuego: El Ciberataque Que Puso al Mundo en Alerta
Una reciente campaña cibernética ha comprometido más de 70 servidores Microsoft Exchange en 26 países al inyectar keyloggers basados en JavaScript en las páginas de inicio de sesión de Outlook Web Access (OWA).
¿Cuál es la amenaza?
Esta campaña, activa desde al menos 2021, ataca servidores Microsoft Exchange con OWA habilitado. Los hackers inyectan keyloggers maliciosos basados en JavaScript en las páginas de inicio de sesión de OWA para capturar nombres de usuarios y contraseñas al iniciar sesión. Las credenciales robadas se almacenan localmente en el servidor o se extraen mediante túneles DNS o bots de Telegram. La campaña se dirige a agencias gubernamentales, empresas de TI y sectores industriales, explotando vulnerabilidades de Exchange sin parchear. Su sigilo y baja tasa de detección hacen que la aplicación inmediata de parches, la auditoría de scripts y la monitorización del tráfico sean cruciales para la defensa.
¿Por qué es digno de mención?
El código JavaScript malicioso está diseñado para leer y procesar datos de formularios de autenticación y posteriormente enviar esta información mediante una solicitud XHR a una página designada en un servidor Exchange comprometido. El código fuente de la página objetivo incluye una función de controlador que captura la solicitud entrante y escribe los datos en un archivo en el servidor.
La cadena de ataque comienza explotando vulnerabilidades conocidas de Microsoft Exchange Server, como ProxyShell, para inyectar código keylogger en la página de inicio de sesión. La identidad de los actores de amenazas responsables se desconocen por el momento. Algunas de las vulnerabilidades utilizadas se enumeran a continuación:
- CVE-2014-4078: Vulnerabilidade de omisión de funciones de seguridad IIS
- CVE-2020-0796: Vulnerabilidad de ejecución remota de código en cliente – servidor SMBv3 de Windows.
- CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065: Vulnerabilidad de ejecución remota de código en Microsoft Exchange Server (ProxyLogon).
- CVE-2021-31206: Vulnerabilidad de ejecución remota de código en Microsoft Exchange Server.
- CVE-2021-31207, CVE-2921-34473 y CVE-2021-34523: Vulnerabilidad de omisión de características de seguridad de Microsoft Exchange Server (ProxyShell).
¿Cuál es la exposición o riesgo?
Se puede acceder a este archivo, que contiene los datos robados, desde una red externa. También se han descubierto variantes con capacidades locales de keylogging, que recopilan cookies de usuario, cadenas de agente de usuario y marcas de tiempo. Una ventaja significativa de este método es el mínimo riesgo de detección. No implica tráfico saliente para la transmisión de la información.
Hasta el momento, se ha identificado al menos 22 servidores comprometidos en agencias gubernamentales. Otros sectores afectados incluyen TI, logística e industria. Los principales países afectados son Vietnam, Rusia, Taiwán, China, Pakistán, Líbano, Australia, Zambia, Países Bajos y Turquía.
Se le recomienda a las organizaciones tomen estas medidas para reducir el riesgo de explotación y proteger su infraestructura:
- Aplique los parches de seguridad más recientes a todos los servidores Microsoft Exchange. Compruebe periódicamente si hay actualizaciones e instalarlas con prontitud para mitigar las vulnerabilidades conocidas.
- Limite el acceso a los servidores Exchange solo a quienes lo necesiten estrictamente. Utilice controles de acceso basados en roles (RBAC) para aplicar el principio de mínimo privilegio.
- Adopte una detección y respuesta ante amenazas extendida, como una solución XDR para monitorear los puntos finales en busca de actividades sospechosas, incluida la detección y el bloqueo de scripts maliciosos, la instalación de software no autorizado como keyloggers y para detectar intentos de inicio de sesión inusuales o patrones de acceso que podrían indicar una cuenta o un servidor comprometido.
- Importa la autenticación multifactor (MFA) a todos los usuarios que accedan al servidor Exchange para agregar una capa adicional de seguridad más allá de las contraseñas.
Acércate a nosotros para brindarte más información de nuestro programa de canales:
- Sitio web: www.pccommayorista.com
- Registro de canales: https://www.pccommayorista.com/Socio-censornet-suite.aspx
- Teléfono: +52 (55) 5599.0670
- Correo de contacto: contacto@pccommayorista.com
JR
