UNA VULNERABILIDAD DÍA CERO CVE 2021-26855

1. Introducción

Microsoft en enero del 2021 presento uno de los ataques más importantes en los últimos años, ya que para los servidores que contaban con su servicio de Microsoft Exchange fueron expuestas cuatro vulnerabilidades día cero denominadas con la clasificación de CVE (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Además de revelar estas vulnerabilidades, Microsoft publicó actualizaciones de seguridad y orientación técnica para mitigar la vulnerabilidad, destacando la urgencia de estas 0.

DevCore, grupo especializado en pruebas de penetración, equipo rojo, consultoría y capacitación en ciberseguridad. Dentro de sus principales objetivos, se encuentra la generación de inteligencia a través de la investigación de vulnerabilidades en varios proveedores de fama mundial [2], así se inició un proyecto para explorar la seguridad de los productos de Microsoft Exchange Server en el que identificaron a finales de 2020 dos de las vulnerabilidades antes mencionadas.

Siendo este el comienzo de la perdida de alrededor de 38 millones de registros solamente en Estados Unidos tanto como para empresas privadas como gubernamentales[3], con lo que se puede entender la criticidad de las vulnerabilidades expuestas, así como la correcta atención y aplicación de las configuraciones de seguridad pertinentes para mitigar el riesgo.

A pesar de que estas vulnerabilidades ya hayan sido dadas a conocer junto con sus soluciones, la importancia de los equipos de respuesta a incidentes o administradores TIC dentro de las organizaciones, juega un papel muy importante, si no son detectadas a tiempo y atendidas adecuadamente, dichas vulnerabilidades pueden sufrir una pérdida de información cuantiosa o sumarse a otras vulnerabilidades en años próximos como lo pueden ser la CVE-2022-41040 y CVE-2022-41082.

En este documento, describimos de manera general los aspectos principales de los ataques relacionados con las vulnerabilidades mencionadas.

• En la sección II se analizan los problemas que conducen al ataque, así como el número de servidores alrededor del mundo que pudieron ser víctimas.
• La sección III describimos la evolución de las vulnerabilidades y el actuar de las empresas desde que se detectaron por primera vez.
• La sección IV analiza el impacto que tuvo en la comunidad en ciberseguridad.  
• La sección V ofrece los esfuerzos realizados por Microsoft y que sugirió encarecidamente a los respondedores de los sistemas que fueron pirateados.

2. Antecedentes

Devcore requirió de un análisis de seguridad y un plazo de tan solo dos meses para lograr la primera identificación. El 10 de diciembre de 2020 detectaron la vulnerabilidad relacionada con la autenticación de proxy que otorga a usuarios permisos de nivel de administrador dentro de servidores Exchange vulnerables, y asignando el identificador CVE-2021-26855. Posteriormente el 30 del mismo mes, se descubrió un segundo error en el código fuente que se encadenaba con la primera vulnerabilidad para obtener acceso privilegiado a los servidores de Exchange y modificar arbitrariamente archivos en cualquier directorio del servidor, identificada como CVE-2021-27065. [1]

Ilustración 1. Línea del tiempo. (Elaboración propia en base a la información obtenida de Palo Alto Networks)

De esta forma en un lapso de tres meses, cuatrocientos mil servidores con Microsoft Exchange estuvieron expuestos, de los cuales, a pesar de los parches de seguridad, Microsoft el 12 de marzo de 2021 notifico que existían aun alrededor de 82,000 servidores sin algún parche [4]. Sin embargo, en aquellos servidores que se han visto vulnerados, los atacantes pudieron haber instalado malware lo que permitiría volver a ingresar a esos servidores nuevamente [5]

En este punto, el mensaje es claro: cualquier organización que tenga instalada de manera local el servicio de Microsoft Exchange Server 2010, 2013, 2016 o 2019, necesitan instalar los últimos parches de seguridad que la compañía ha divulgado.

Ilustración 2. Países potencialmente vulnerables en Servidores de Microsoft Exchange (Shadowserver, 2021)

De acuerdo con el grupo Shadowserver, datos recolectados en conjunto por 120 CSIRT nacionales en 148 países, afirman que se lograron identificar más de 64,088 direcciones IP únicas que se evaluaron como potencialmente vulnerables por las brechas de seguridad detectadas en Microsoft Exchange Server, siendo Estados Unidos, Alemania y el Reino unido los que encabezan la lista. [6]. En México se detectaron al menos 125 servidores vulnerables como se muestra en la Ilustración 3.

Ilustración 3. Servidores de Microsoft Exchange potencialmente vulnerables por país. (Shadowserver, 2021).

3. Funcionamiento de Ataque

Las vulnerabilidades de día cero son las brechas de seguridad más peligrosas debido a la falta de conocimiento, experiencia o nula información relacionada a estos tipos de vulnerabilidades que como resultado, el ataque tiene una probabilidad de alto riesgo y un impacto crítico. [7]Por ello el trabajo en conjunto de diferentes organismos en ciberseguridad es fundamental para mantener y alimentar repositorios de vulnerabilidades con la detección y solución de vulnerabilidades en cualquier producto que se detecten.

Tabla 1. Vulnerabilidades (Microsoft Exchange, 2022)

Las vulnerabilidades de día cero, y en específico las mencionadas en la sección anterior, explotan la mala configuración de los servidores de la siguiente forma:

1. Como primer paso los atacantes realizan un escaneo masivo en internet para detectar servidores de Microsoft Exchange locales con versiones susceptibles a la vulnerabilidad CVE-2021-26855;
2. El atacante usa la falsificación de solicitud del lado del servidor (SSRF) para omitir la autenticación y acceder al servidor;
3. Se ejecuta código malicioso de manera remota a través de peticiones web (aprovechando las vulnerabilidades como CVE-2021-26857 y CVE-2021-26858);
4. Finalmente, el intruso mantiene mecanismos de persistencia (como web Shell) para mantener la comunicación y el control de los servidores, extrayendo información, aumentando privilegios y realiza movimientos laterales.

Ilustración 4. Cadena de vulnerabilidades (BI. Zone, 2021)

La gran cantidad de servidores afectados con estas vulnerabilidades de Microsoft Exchange fue posible debido a que los grupos de atacantes intercambiaron de manera óptima, información sobre vulnerabilidades y exploits antes de que las organizaciones especializadas en ciberseguridad como Centros de Operaciones de Seguridad (SOC), Equipo de Respuesta ante Emergencias Informáticas (CERT/CSIRT) tuvieran acceso a la información sobre la detección y mitigación del ataque. Además, la falta de gestión de vulnerabilidades y monitoreo de seguridad fue un factor que ayudo al incremento de la explotación generalizada en organizaciones de todo el mundo. [8]

A pesar de los esfuerzos en conjunto, así como la publicación de parches de seguridad por parte de Microsoft, de acuerdo con ESET (compañía de software especializada en ciberseguridad) [9]incluso después de ser lanzados los parches de seguridad se siguió detectando un incremento variable en las Web Shell de los servidores que contaban con Microsoft Exchange, como se muestra en la Ilustración 5.

Ilustración 5. Detección de los webs Shell caídos a través de CVE-2021-26855 (ESET)

Por lo tanto, no sorprende que varios atacantes sigan buscando comprometer los sistemas vulnerables que no han sufrido actualización alguna y mucho menos atendido las recomendaciones de configuración de seguridad que ha divulgado Microsoft. Esto ha estado ocurriendo a una escala sin precedentes.

4. Impacto

El impacto del ataque como se ha observado en las secciones anteriores empezó a tomar fuerza con el paso del tiempo, y debido a múltiples factores se convirtió en una crisis a nivel mundial debido a múltiples factores. De acuerdo con investigaciones de ESET [10]varios grupos de Ciber espionaje han explotado de manera activa la vulnerabilidad CVE-2021- 26855, teniendo como objetivo no solamente a Estados Unidos, sino también a otros países como Alemania, Francia, Reino Unido, entre otros.

Ilustración 6. Países Objetivo ante la vulnerabilidad CVE-2021-26855 (ESET, 2021)

Adicional a lo anterior, el grupo de Check Point Research (CPR) ha comprobado que el número de intentos de explotación de la vulnerabilidad lograba duplicarse cada 2 o 3 horas en diferentes organizaciones de diversos países en el que el 17% proceden del sector público y militar y un 14% del sector industrial. [11]

Dentro de esta investigación por parte de CPR también se puede observar los países que más han sido afectados, siendo Estados Unidos la más afectada con el 16%, mientras que México apenas representa el 1%. Sin embargo, dada la criticidad de la vulnerabilidad, se tiene que recordar que cualquier servidor comprometido podría permitir a un cibercriminal no autorizado ejecutar código malicioso que implicaría la extracción de información valiosa y confidencial de alguna organización pública o privada.

Ilustración 7. Países afectados a nivel mundial. (Itsitio, 2021)

Cómo se ha mencionado con anterioridad, el actuar de los Centros de Operaciones de Seguridad y de los Administradores TIC es de vital importancia para mitigar el riesgo o reducir el daño en los servidores de Microsoft Exchange actualizando e instalando los últimos parches de seguridad, ya que si no se implementan estas contramedidas de seguridad podrían sumarse a vulnerabilidades posteriores.

De esta manera grupos de Ciber espionaje o Hacktivistas como el grupo Guacamaya, han logrado en el año 2022 perpetrar servidores que no contaban con parches de vulnerabilidad actualizados en el que se explotó primeramente una vulnerabilidad conocida del servidor de correos Zimbra (CVE-2022-27925), en el que debido al uso de software desactualizado, se lograron explotar adicionalmente las vulnerabilidades registradas como CVE-2022-41040 siendo una vulnerabilidad de falsificación de solicitud del lado del servidor (similar a CVE-2021-26855) y CVE-2022-41082 que permitía la ejecución remota de código cuando el atacante accedía a PowerShell. [12].

5. Solución

Se ha mencionado la importancia de mantener actualizados los sistemas que cuenten con el servicio de Microsoft Exchange y adicionalmente estar informado a alertas de vulnerabilidades de los proveedores de los aplicativos que estén dentro del servidor. Siendo un proceso de mejora continua y de esfuerzos conjunto para publicar parches de seguridad o configuraciones que permitan mitigar la vulnerabilidad como ha pasado en este caso con Microsoft [13]:

Tabla 2. Actualizaciones realizadas por Microsoft. (Microsoft, 2021)

6. Conclusiones

Ante la incertidumbre constante que puede generar el descubrimiento de nuevas vulnerabilidades o el trabajo constante de campañas orquestadas por ciber atacantes para obtener información que puede generar afectaciones sociales, educativas y/o gubernamentales, es imperante el trabajo en conjunto por parte de organismos en ciberseguridad como SOCs, CERTs y CSIRTs, la implementación correcta de Indicadores de compromiso, así como el desarrollo e implementación de una Inteligencia de Amenazas (CTI, por sus siglas en Ingles) que pueda ser consultada por especialistas en seguridad con el fin de unificar fuerzas para mitigar brechas de seguridad identificadas. En consecuencia, si se cuenta con servicios de los Centros de Operaciones en Seguridad maduros y bien estructurados que sean impulsados por la inteligencia de amenazas, permitiría a las organizaciones defender y mitigar mejor las acciones posteriores a la explotación de cualquier vulnerabilidad, y sobre todo las vulnerabilidades de día cero. Por el contrario, los SOC que carecen de CTI externo se enfrentan a la compleja tarea de detectar comportamientos anormales únicamente a partir de registros y eventos que detectan con herramientas propias. [8]

Los problemas de ciberseguridad no solo carecen del trabajo en conjunto sino de una cultura de ciberseguridad generalizada, los grandes lideres de tecnología pueden trabajar a marchas forzadas para desarrollar una actualización y/o un parche que mitigue una vulnerabilidad, pero dependerá de la preparación, constancia y conocimiento del Administrador TIC que los activos a su cargo se encuentren actualizados, y bajo un mantenimiento preventivo y/o correctivo cuando se requiera.

Referencias

1. Unit. (2021, marzo 11). Microsoft Exchange Server attack timeline. Unit 42. https://unit42.paloaltonetworks.com/microsoft-exchange-server-attack-timeline/
2. About. (s/f). DEVCORE 戴夫寇爾. Recuperado el 13 de diciembre de 2022, de https://devco.re/en/about/
3. (S/f). Cpomagazine.com. Recuperado el 13 de diciembre de 2022, de https://www.cpomagazine.com/cyber-security/microsoft-power-apps-data-leak-fallout-38-million-records-exposed-state-and-city-governments-among-those-breached/
4. A basic timeline of the exchange mass-hack. (s/f). Krebsonsecurity.com. Recuperado el 13 de diciembre de 2022, de https://krebsonsecurity.com/2021/03/a-basic-timeline-of-the-exchange-mass-hack/
5. Hollister, S. (2021, Marzo 8). Microsoft was warned months ago — now, the Hafnium hack has grown to gigantic proportions. The Verge. https://www.theverge.com/2021/3/8/22319934/microsoft-hafnium-hack-exchange-server-email-flaw-white-house
6. Shadowserver Special Reports – exchange scanning #1. (s/f). Shadowserver.org. Recuperado el 13 de diciembre de 2022, de https://www.shadowserver.org/news/shadowserver-special-reports-exchange-scanning/
7. Teodorescu, C. A. (2022). Perspectives and reviews in the development and evolution of the zero-day attacks. Informatica Economica, 26(2/2022), 46–56. https://doi.org/10.24818/issn14531305/26.2.2022.05
8. Schlette, D., Vielberth, M., & Pernul, G. (2021). CTI-SOC2M2 – The quest for mature, intelligence-driven security operations and incident response capabilities. Computers & Security, 111(102482), 102482. https://doi.org/10.1016/j.cose.2021.102482
9. Faou, M., Tartare, M., & Dupuy, T. (2021, marzo 10). Exchange servers under siege from at least 10 APT groups. WeLiveSecurity. https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/
10. CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065: Four zero-day vulnerabilities in Microsoft Exchange server exploited in the wild. (2021, marzo 2). Tenable®. https://www.tenable.com/blog/cve-2021-26855-cve-2021-26857-cve-2021-26858-cve-2021-27065-four-microsoft-exchange-server-zero-day-vulnerabilities
11. Forti, F. G. (2021, marzo 19). Cuatro vulnerabilidades Zero-days de Microsoft. ITSitio. https://www.itsitio.com/us/cuatro-vulnerabilidades-zero-days-de-microsoft/
12. Escobar, C. (2022, octubre 12). ¿Cómo hackearon a la Sedena? Esto dice un especialista. Serendipia; Serendipia | Periodismo de datos. https://serendipia.digital/que-paso-aqui/como-hackearon-a-la-sedena/
13. Zone, B. I. (2021, abril 8). Охота на атаки MS Exchange. Часть 1. ProxyLogon (CVE-2021-26855, 26858, 27065, 26857). Хабр; Habr. https://habr.com/ru/company/bizone/blog/551228/

_______________________________________________________

[1] Coordinación de Seguridad de la información, Dirección General de Tecnologías de la Información y Comunicación, Universidad Nacional Autónoma de México. [email protected]

[1] Coordinación de Seguridad de la información, Dirección General de Tecnologías de la Información y Comunicación, Universidad Nacional Autónoma de México. [email protected]