¿Te acuerdas de HAFNIUM?
Por supuesto que sí, es el nombre detrás de cuatro vulnerabilidades de Exchange que se repararon en una actualización de emergencia a principios de marzo de 2021.
A pesar de que solo faltaba una semana para el martes de parches de marzo de 2021, Microsoft decidió emitir lo que se conoce como las “correcciones de Hafnium” en una actualización no programada.
Las correcciones solucionaron cuatro agujeros de seguridad que podrían encadenarse para producir un ataque que ahora se ha denominado ProxyLogon.
Usando el truco de ProxyLogin, un ciberdelincuente fuera de tu red podría instalar furtivamente malware en tu servidor sin necesidad de pasar primero por ningún tipo de proceso de autenticación o verificación de contraseña.
Como explicamos en un artículo reciente de Serious Security en Naked Security, un delincuente que puede cargar un archivo en un directorio de servidor de Windows donde se almacenan datos web no solo tiene la oportunidad de contaminar tu servidor web con contenido falso, siendo esto ya grave por sí solo.
Al cargar un archivo web que no solo contiene HTML, sino que también incluye lo que se llama un server-side script, los ciberdelincuentes pueden crear un fichero malicioso en su servidor que ejecutará ese script en el servidor cada vez que visiten la URL del archivo que cargaron.
Ejecución remota de código
Usando el ataque ProxyLogon, los ciberatacantes pueden convertir el truco de cargar un archivo arbitrario en un exploit de ejecución de código remoto, para que puedan regresar cuando lo deseen y ejecutar el código que cargaron anteriormente.
Peor aún, los delincuentes no necesitan cargar un solo comando específico para ejecutarlo más tarde, por muy dañino que esto sea por sí solo.
Al cargar lo que se conoce como webshell, un script de comando ejecutable de forma remota que está programado para ejecutar comandos adicionales arbitrarios proporcionados en tiempo de ejecución, los atacantes pueden regresar cuando quieran para ejecutar lo que quieran.
Los webshells brindan a los atacantes el mismo tipo de poder general que un símbolo del sistema local o una ventana de PowerShell, pero sin requerir que trabajen más allá de las reglas de firewall o los mensajes de inicio de sesión.
Vida más allá del HAFNIUM
Da la casualidad de que Hafnium no se refiere al ataque descrito anteriormente, sino simplemente a un grupo específico de ciberdelincuentes que estaban usando el truco ProxyLogon antes de que Microsoft se diera cuenta de los errores y de que sus actividades provocasen los parches de emergencia.
Desafortunadamente, una vez que se conocieron los ataques de Hafnium, aumentó el interés en las técnicas que habían estado utilizando.
El código de ataque se hizo público, de modo que cualquiera podría explotar el agujero de ProxyLogon, y surgieron una serie de ciberataques utilizándolo.
El grupo original de Hafnium parece haber estado interesado en robar datos, presumiblemente para espionaje industrial, pero algunos de los atacantes que siguieron tenían ideas diferentes, como el grupo BlackKingdom, que usó ProxyLogon para difundir su ransomware.
A pesar de varias semanas de advertencias urgentes, sobre todo de Naked Security (donde hemos predicado sobre la aplicación de parches en artículos, podcasts y en video), todavía hay muchos servidores sin parches esperando a ser atacados.
Y el agujero de ProxyLogon lleva a los atacantes directamente a tu servidor Exchange, que es un objetivo que casi con certeza contiene lo que los delincuentes consideran “datos trofeo”, por lo que no es algo bueno.
Por eso, el FBI decidió actuar y convertir el ataque en defensa.
Los federales acudieron a los tribunales por una orden judicial que les autorizaba a “explotar” los webshells visibles en servidores sin parches y el comando de ejecución de código remoto que emitieron a esos webshells fue: DELETE THYSELF:
Muchos propietarios de sistemas infectados eliminaron con éxito los webshells de miles de ordenadores. Otros parecían incapaces de hacerlo, y cientos de tales webshells persistieron sin ser eliminados. Esta operación eliminó los webshells que podrían haberse utilizado para mantener y escalar el acceso persistente y no autorizado a las redes de EEUU. El FBI llevó a cabo la eliminación emitiendo un comando a través del webshell al servidor, que fue diseñado para hacer que el servidor elimine solo el webshell (identificado por su ruta de archivo única).
Como señaló el Departamento de Justicia en su comunicado de prensa, las instalaciones de webshell de la banda Hafnium usaban un nombre de archivo y una ruta diferentes en cada servidor que atacaban.
El Departamento de Justicia sugirió cortésmente que esto “puede haber sido más difícil de detectar y eliminar para los propietarios de servidores individuales que otros webshells”.
¿Qué hacer?
- Comprueba si tienes servidores Exchange en tu red. Incluso si eres una organización de “nube completa”, es posible que aún tengas servidores heredados en tu propia red de los que te hayas olvidado. Esos servidores nunca serán parcheados a menos que los busques activamente.
- Comprueba si tus servidores están parcheados. No lo dejes al azar ni asumas que las actualizaciones se han aplicado automáticamente.
- Comprueba tu red en busca de indicadores de compromiso. No busques simplemente artefactos específicos, como un nombre de archivo individual, que otra víctima pueda haber informado, porque los detalles varían de un ataque a otro. Utiliza las técnicas de búsqueda de amenazas más generales que puedas. Sophos ha creado una guía paso a paso para ayudarte a detectar si has sido infiltrado.
Si estás infectado, no esperes a que otra persona ejecute el webshell por ti, porque probablemente no será el FBI quien le diga a tu servidor que se desinfecte.