Exchange ProxyShell sigue siendo explotado

Parece mentira, pero ya han pasado nueve meses desde desde la divulgación de Exchange ProxyShell, un conjunto de tres vulnerabilidades que afectan a Microsoft Exchange (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) que, combinadas entre sí, permiten la ejecución de código remoto no autenticado en el servidor. Esta vulnerabilidad afecta a las siguientes versiones:

• Microsoft Exchange Server 2019.
• Microsoft Exchange Server 2016.
• Microsoft Exchange Server 2013.

La explotación masiva de este conjunto de vulnerabilidades se inició a principios de agosto de 2021, pero en este punto es muy importante aclarar que, en aquel momento, ya habían pasado varios meses desde que Microsoft publicara las soluciones necesarias para protegerse, de manera individual, de cada una de las vulnerabilidades que componen Exchange ProxyShell.

En concreto, la solución para CVE-2021-34473 y CVE-2021-34523 fue publicada en el KB5001779, fechado el 19 de abril de 2021, mientras que el KB5003435 del 11 de mayo de 2021 solucionaba CVE-2021-31207. Dicho de otra manera, para cuando comenzó la explotación masiva de ProxyShell, debido a su difusión, ya habían pasado alrededor de dos meses desde que se hicieran públicas las soluciones para protegerse frente a dichos ataques.

Actualizar el software, esto ya lo hemos dicho en muchas ocasiones, en determinados entornos es bastante más complejo de lo que puede parecerle a alguien que observa ese mundo desde fuera. Esa es la razón por la que las tecnológicas buscan la manera de reducir su frecuencia y proponer soluciones para un despliegue más seguro. Sin embargo, cuando éstas aparecen, y más cuando solucionan problemas de seguridad, deberían ser una prioridad absoluta para los responsables de las infraestructuras.

Y, sin embargo, recientemente se ha llevado a cabo una campaña de ransomware atacando a servidores Microsoft Exchange no parcheados para protegerse de ProxyShell. En el mismo, un afiliado de Hive ha rastreado y encontrado servidores no parcheados y ha empleado el agujero de seguridad para implementar un conjunto de puertas traseras, como Cobalt Strike, para garantizarse acceso al servidor y, por ende, a la infraestructura.

Una vez infiltrado en el servidor, el atacante aprovecha el control sobre el mismo para escanear la red con el fin de conocer la infraestructura, roba las credenciales de la cuenta de administrador, extrae datos valiosos y, en última instancia, implementa la carga útil que se responsabilizará del cifrado de archivos, la última fase de todo ataque de ransomware. En este caso además, como puedes comprobar, previamente hay exfiltración de datos, por lo que el ciberdelincuente cuenta con dos vías para extorsionar a la víctima.

La peligrosidad de las tres vulnerabilidades que componen ProxyShell oscila entre 7,2 (alta) y 9,8 (crítica), es decir, que en el momento en el que Microsoft publicó sus soluciones, antes de que se difundiera la existencia de esta técnica, ya era de sobra conocido que eran problemas graves, y que debían ser solventados a la mayor brevedad. Sin embargo, esta explotación reciente, nos demuestra que todavía quedan instalaciones de Exchange que no han sido protegidas, con las debidas actualizaciones, de esta amenaza.

La investigación de estos ataques, llevada a cabo por la compañía de ciberseguridad Varonis, que ha publicado un interesante informe al respecto, nos demuestra que, una vez explotado ProxyShell, los atacantes pudieron desplegar hasta cuatro webshells en los sistemas atacados, descargar e instalar Cobalt Strike y desplegar Mimikatz para hacerse con unas credenciales de administrador que facilitaran el movimiento lateral dentro de la red.

¿El resto? Ya lo puedes imaginar, trabajo de exploración, búsqueda y exfiltración de activos valiosos… un ataque de ransomware en toda regla, 100% efectivo, por unas vulnerabilidades de seguridad para las que Microsoft publicó las actualizaciones necesarias hace ya prácticamente un año. Un recordatorio más, y ya van muchos, de la importancia de mantener el software actualizado. Y sí, hacerlo puede ser costoso, pero no hacerlo puede llegar a serlo muchísimo más.