El martes 2 de marzo, el Centro de Inteligencia de Amenazas de Microsoft (MTIC, por sus siglas en inglés) reveló detalles sobre una campaña llamada Hafnium que tiene como objetivo los servidores Microsoft Exchange locales. El ataque aprovecha varios exploits 0-day en Exchange y permite a los atacantes saltarse la autenticación, incluida la autenticación multifactor (MFA) para acceder a cuentas de correo electrónico dentro de las organizaciones objetivo y ejecutar malware de forma remota en servidores Microsoft Exchange vulnerables y facilitar el acceso a largo plazo.
El ataque comenzó con un escaneo global en busca de servidores Microsoft Exchange externos vulnerables. Cuando se identificó un servidor de interés, los atacantes aprovecharon un exploit remoto de falsificación de petición del lado del servidor (SSRF) zero-day para cargar una shell web conocida como China Chopper. Esta shell web permitió a los atacantes robar datos de correo electrónico y adentrarse potencialmente en el entorno de red.
Cabe señalar que esta vulnerabilidad no parece afectar a Microsoft Office 365.
Vectra Los clientes con Detect deben revisar las detecciones asociadas a sus servidores Exchange. El shell inverso documentado en los ataques activará una detección de Acceso Remoto Externo y la exfiltración de datos desde el servidor Exchange a través de ese canal activará una alerta de Smash & Grab. Cualquier signo de reconocimiento interno o movimiento lateral desde el servidor Exchange debe revisarse cuidadosamente, ya que estas alertas indicarían un movimiento del atacante más profundo en la red.
Vectra clientes con Recall o Stream deben revisar las conexiones hacia y desde su servidor Exchange. En los casos en que los sensores de Vectra tienen visibilidad del tráfico de salida a entrada a sus servidores Exchange, los equipos deben comprobar si hay intentos de conexión desde cualquiera de las siguientes IP: 165.232.154.116, 157.230.221.198 y 161.35.45.41. Utilice las siguientes consultas para encontrar hosts potencialmente afectados.
{
"query": {
"bool":{
"debería": [
{
"match_phrase": {
"id.orig_h": "165.232.154.116"
}
},
{
"match_phrase": {
"id.orig_h": "157.230.221.198"
}
},
{
"match_phrase": {
"id.orig_h": "161.35.45.41"
}
}
],
"coincidencia_mínima": 1
}
}
}
Como siempre, Vectra recomienda a los clientes que actualicen sus servidores Exchange con los parches disponibles de Microsoft lo antes posible, o que limiten el acceso externo a estos servidores Exchange hasta que se pueda aplicar un parche.
Para saber más sobre cómo Vectra puede ayudarle si cree que puede haberse visto comprometido por la brecha, programe una demostración para ver cómo Vectra puede detectar y detener ataques como estos en su organización o póngase en contacto con nosotros.