Publicado el

Vulnerabilidades 0-day para Microsoft Exchange

A día 3 de marzo de 2021, Microsoft ha publicado una actualización de seguridad crítica para Microsoft Exchange Server que soluciona cuatro vulnerabilidades de tipo 0-day. [1]

ANÁLISIS
La actualización de seguridad corrige las vulnerabilidades designadas como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, y CVE-2021-27065. [3][4][5][6] Esta actualización ha sido publicada fuera del ciclo habitual de actualizaciones de Microsoft debido a la detección de exploits siendo usados activamente en ataques dirigidos. [1][8]

Un atacante remoto podría aprovechar varias de estas vulnerabilidades de ejecución remota de código para tomar el control de un sistema afectado, o aprovechar otra de las vulnerabilidades para obtener acceso a información confidencial. La explotación de estas vulnerabilidades son parte de una cadena de ataques, en la que el ataque inicial requiere establecer una conexión «desconfiable» con el servidor de Exchange en el puerto 443.

Las versiones afectadas son las siguientes:

    • Microsoft Exchange Server 2013
    • Microsoft Exchange Server 2016
    • Microsoft Exchange Server 2019

RECOMENDACIONES
Para mitigar la primera acción de la cadena de ataques, se recomienda restringir las conexiones desconfiables con el servidor, o configurar una VPN para separar el servidor de Exchange del acceso externo.

Se recomienda instalar inmediatamente las actualizaciones de Microsoft en los servidores de Exchange con versiones afectadas, priorizando aquellos servidores de Exchange expuestos a internet.

Se recomienda comprobar los indicadores de compromiso, apoyándose en la aplicación de las reglas de detección publicadas por el equipo de Volexity y Nextron Systems. [8][9]

INDICADORES DE COMPROMISO (IOC)

Direcciones IP

165.232.154.116
104.248.49.97
103.77.192.219
104.140.114.110
104.250.191.110
108.61.246.56
149.28.14.163
157.230.221.198
167.99.168.251

185.250.151.72
192.81.208.169
203.160.69.66
211.56.98.146
5.254.43.18
5.2.69.14
80.92.205.81
91.192.103.43


Peticiones HTTP

POST /owa/auth/Current/
POST /ecp/default.flt

POST /ecp/main.css
POST /ecp/<single char>.js


Posibles User-Agent

DuckDuckBot/1.0;+(+http://duckduckgo.com/duckduckbot.html)
facebookexternalhit/1.1+(+http://www.facebook.com/externalhit_uatext.php)
Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)
Mozilla/5.0+(compatible;+Bingbot/2.0;++http://www.bing.com/bingbot.htm)
Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html
Mozilla/5.0+(compatible;+Konqueror/3.5;+Linux)+KHTML/3.5.5+(like+Gecko)+(Exabot-Thumbnails)
Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)
Mozilla/5.0+(compatible;+YandexBot/3.0;++http://yandex.com/bots)
Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/51.0.2704.103+Safari/537.36
antSword/v2.1
Googlebot/2.1+(+http://www.googlebot.com/bot.html)
Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)


REFERENCIAS

[1] https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
[2] https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
[5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
[6] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
[7] https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
[8] https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
[9] https://twitter.com/cyb3rops/status/1367045727017394177

Publicado el

Boletín 13/02/2021 – 26/02/2021

Como cada quincena, emitimos nuevo boletín con las noticias y alertas más destacadas de estas dos últimas semanas.

Empezamos comentando que varios miembros del grupo de ransomware Egregor han sido detenidos. Este ciberdelito afecta principalmente a empresas, a las que extorsionan para que paguen por recuperar sus ficheros y además, para evitar que estos sean publicados, ya que buena parte de ellos pueden contener información sensible o confidencial.

Otras detenciones que se han notificado en estos días, afectan a ciberdelincuentes norcoreanos acusados de robar millones de dólares, los cuales son arrestados después de atacar varias redes de bancos, compañías de entretenimiento y plataformas de intercambio de criptomoneda.

También queremos alertar sobre las ciberestafas románticas, que están generando pérdidas por más de 300 millones de dólares. Esta práctica consiste en engañar a un usuario a través de sus redes sociales fingiendo ser una mujer para establecer una relación y, con el paso del tiempo, pedir dinero, el envío de artículos a través de paqueterías, tarjetas de regalo, etc.

Respecto a las aplicaciones para móviles, aconsejamos actuar con cautela antes de instalarlas, ya que pueden ser fraudulentas. Ha sido el caso de dos aplicaciones, en las que se ha demostrado que actuaban como software espía usado para fines políticos que tenían como objetivo, Pakistán. Bautizado como Hornbill y Sunbird, el malware se hace pasar por servicios legítimos para ocultar su rastro con la finalidad de recopilar SMS, contenido de aplicaciones de mensajería cifrada y geolocalización, entre otros tipos de información sensible.

El robo de tarjetas de crédito permite además que sean manipuladas por los ciberdelincuentes, quienes evaden mecanismos de seguridad en tarjetas MasterCard, haciéndolas pasar por tarjetas Visa. Este ciberataque estaría basado en una condición de evasión de PIN, que permite a los atacantes abusar de tarjetas Visa robadas para realizar compras por altas cantidades de dinero sin usar el PIN de la víctima.

Dado que hoy en día nos registramos en multitud de plataformas, y cada vez más se utilizan las aplicaciones bancarias para gestionar nuestras cuentas, es muy importante recordar la importancia de las contraseñas de acceso, las cuales deben ser distintas para cada servicio y además deben cumplir unos mínimos criterios para considerarlas seguras (longitud, mezcla de números, letras y caracteres especiales). En este artículo podéis comprobar cuáles son las contraseñas más utilizadas y por tanto las más fáciles de adivinar por los ciberdelincuentes. Recomendamos leer nuestra guía sobre el uso de gestores de contraseñas, y así facilitar el uso de contraseñas robustas y por tanto mucho más seguras.

Desde el Centro Criptológico Nacional (CCN-cert), se ofrece a las organizaciones diferentes recursos que ayudan a gestionar diferentes aspectos relacionados con el uso de las tecnologías. Cabe mencionar en esta ocasión una nueva versión de la solución identificada como Pilar, la cual consiste en un conjunto de herramientas EAR (Entorno de Análisis de Riesgos) cuya función es el análisis y la gestión de riesgos de un sistema de información. Está dirigida a todas aquellas organizaciones/organismos que cuentan con infraestructuras de TIC y que tienen la necesidad de gestionar de forma eficiente sus activos, realizando Análisis de Impacto y Continuidad de Operaciones, tanto cuantitativos como cualitativos.

Terminamos este boletín quincenal haciendo mención a las sucesivas campañas de phishing que se están produciendo. Por ejemplo, se detectó en una de estas campañas, una nueva versión del troyano MassLogger. Este malware es un software de espionaje que puede extraer las credenciales de usuario desde múltiples plataformas, incluyendo Chrome y Outlook.

Desde CSIRT-CV queremos hacer hincapié en la importancia de contrastar la información que podamos recibir a través de diferentes medios (SMS, email, WhatsApp,…) ya que es fácil caer en el engaño cuando nos solicitan, con cierta prisa, que realicemos acciones para lo cual nos proporcionan un enlace que nunca deberemos pulsar sin antes asegurarnos de que lo que nos dicen es verídico.

Últimas Alertas
Respecto a las alertas más destacadas cabe mencionar las siguientes:

Publicado el

Boletín 30/01/2021 – 12/02/2021

Una vez más os hacemos llegar nuestro boletín con las noticias y alertas más destacadas de las últimas dos semanas.

Abrimos el repaso con la alerta enviada ayer por el CCN donde se invita a instalar las actualizaciones liberadas por Microsoft lo antes posible. En ellas se corrigen un total de 56 vulnerabilidades, algunas de ellas críticas, y que permiten entre otros, ejecución remota de código o denegaciones de servicio.

Con motivo del Día de Internet Segura, desde CSIRT-CV hemos publicado un vídeo promocional acerca de los cursos online gratuitos que impartimos desde nuestras diferentes plataformas. Invitamos a todos nuestros suscritos a verlo y matricularse en alguno de dichos cursos. Recomendamos también visitar la web creada por Incibe con multitud de de actividades relacionadas con este día tan señalado.

Aprovechamos la ocasión para informar del buen resultado que están dando las jornadas de ciberseguridad que CSIRT-CV imparte gratuitamente a centros escolares de la Comunidad Valenciana, en los cuales un equipo de expertos (entre los que se infiltra un hacker), explica y enseña a nuestros jóvenes los peligros de la red y cómo protegerse de ellos. Debido a la pandemia, se está ofreciendo también la posibilidad de hacer estas jornadas online, así que invitamos a todos los centros con alumnos de 1º de la ESO a que accedan al siguiente enlace para recibir toda la información necesaria.

Precisamente uno de los mensajes más mencionados en dichas jornadas es la necesidad de controlar las aplicaciones que instalamos en nuestros smartphones: utilizar siempre fuentes fiables y evitar aplicaciones con poca reputación o que pidan permisos desproporcionados. Ha sido el caso de la aplicación Barcode Scanner que recientemente ha sido eliminada de Google Play por contener malware.

Ya que recientemente han aparecido campañas de desprestigio contra la aplicación WhatsApp, como lectura ociosa para el fin de semana, les recomendamos la siguiente página en la que se analiza la seguridad de diferentes soluciones de mensajería instantánea.

Cerramos el boletín con los principales productos que han recibido actualizaciones relevantes durante esta quincena:

Publicado el

Día de Internet Segura 2021

Como cada año, se celebra el segundo martes de febrero a nivel mundial, por tanto, este año celebramos el Día de Internet Segura el 9 de febrero de 2021 y en esta edición, el lema elegido ha sido:

“Una Internet mejor comienza contigo: más conectados, más seguros”

El objetivo de este día es concienciar acerca de la seguridad en Internet, y promover un uso seguro y positivo de las tecnologías digitales, sobre todo entre los menores, pero también pretende concienciar a padres y tutores, educadores, profesores, trabajadores sociales, e incluso empresas y responsables políticos.

¡Entre tod@s, podemos conseguir crear una Internet más segura!

En CSIRT-CV hemos preparado este video donde te enseñamos los diferentes cursos que tienes disponibles en nuestra web concienciaT, los cuales son gratuitos y se realizan de manera online.

Con ellos mejorarás tus conocimientos en ciberseguridad y te ayudarán a aportar tu granito de arena para mejorar Internet y convertirla en un espacio más seguro para tod@s.