Hafnium: el último ataque en aprovechar vulnerabilidades de Microsoft

Tras las noticias desveladas recientemente sobre las vulnerabilidades de Microsoft y ataque llevado a cabo por el grupo de cibercriminales denominado Hafnium, la empresa de ciberseguridad Sophos ha estado siguiendo de cerca el asunto y está proporcionando consejos sobre cómo las empresas deben cazar estas amenazas y mitigar ataques sufridos o posibles futuros ataques.

“Estas vulnerabilidades son importantes y deben tomarse bien en serio. Permiten a los atacantes ejecutar de forma remota comandos en los servidores afectados sin necesidad de credenciales, y cualquier amenaza podría aprovecharse de ellas. El amplio uso de Exchange y su exposición a Internet significan que muchas empresas que ejecutan un servidor local de Exchange podrían estar en riesgo.

Los cibercriminales están explotando activamente estas vulnerabilidades, siendo la técnica principal el despliegue de un webshell. Algo que, de no abordarse, puede permitir que la amenaza ejecute comandos de forma remota mientras este webshell esté presente.

Las empresas que utilizan un servidor Exchange local deben asumir que están afectadas y, en primer lugar, parchear sus dispositivos Exchange y confirmar que las actualizaciones se han realizado correctamente. Sin embargo, la simple aplicación de los parches no elimina de la red los artefactos anteriores al parche. Las organizaciones necesitan ojos humanos e inteligencia para determinar si se han visto afectadas y en qué medida y, lo que es más importante, para neutralizar el ataque y eliminar al enemigo de sus redes.

Las empresas deben revisar los registros del servidor en busca de indicios de que un atacante pueda haber explotado su servidor Exchange. Muchos de los actuales indicadores de compromiso conocidos están basados en el webshell, por lo que habrá restos de archivos en el servidor Exchange. Por lo tanto, es importante tener una visión general de los archivos y de cualquier modificación de estos. Teniendo instalado un producto de detección y respuesta de endpoints (EDR), también se pueden revisar los registros y procesar la ejecución de comandos.

Si se encuentra alguna actividad anómala o sospechosa, debe determinarse su exposición, ya que se podrá decidir qué hacer a continuación. Es necesario comprender la duración o el impacto que puede haber tenido esta actividad. ¿Cuál es el lapso de tiempo entre la aparición del webshell u otros artefactos en la red y el momento del parcheo o su descubrimiento? Este suele ser un buen momento para pedir apoyo externo si no se está seguro de qué hacer. La respuesta forense y frente a incidentes de terceros puede ser vital en esta etapa, ya que ofrece una detección y caza de amenazas experimentada e inteligencia humana que puede ahondar en la red y encontrar a los atacantes.

El equipo de Sophos Managed Threat Response está buscando e investigando activamente los entornos de los clientes para ver si es posible descubrir nuevos artefactos o indicadores de compromiso que puedan utilizarse para aumentar la detección y la defensa contra esta amenaza. Nuestro equipo de respuesta frente a incidentes 24 horas al día, 7 días a la semana, ya está apoyando a las empresas que creen que pueden haber sido atacadas, algo que también ayudará a reunir más información sobre esta amenaza y cómo protegerse contra ella.”, señala Mat Gangwer, director senior de Sophos Managed Threat Response.

Sophos ha publicado las detecciones de los IoCs conocidos y las herramientas de post-explotación utilizadas en este caso.