Los actores malintencionados no han dejado de buscar explotar la vulnerabilidad CVE-2020-0688 en los servidores de Microsoft Exchange conectados a Internet, advirtió recientemente la Agencia de Seguridad Nacional (NSA).
Esta amenaza en particular probablemente no sería nada especial a estas alturas si todas las organizaciones con servidores vulnerables se hubieran parcheado como Microsoft había recomendado.
Según un Tweet de la NSA, un pirata informático solo necesita credenciales de correo electrónico válidas para ejecutar código en un servidor sin parches, de forma remota.
Una ejecución remota de código #vulnerabilidad (CVE-2020-0688) existe en Microsoft Exchange Server. Si no está parcheado, un atacante con credenciales de correo electrónico puede ejecutar comandos en su servidor.
Orientación de mitigación disponible en: https://t.co/MMlBo8BsB0
- NSA / CSS (@NSAGov) 7 de marzo de 2020
Los actores de APT están violando activamente servidores no parcheados
Noticias de un escaneo a gran escala para servidores de MS Exchange sin parchear apareció el 25 de febrero de 2020. En ese momento, no hubo un solo informe de una violación exitosa del servidor.
Pero una organización de ciberseguridad, Zero Day Initiative, ya había publicado un video de prueba de concepto, que demuestra cómo ejecutar un ataque CVE-2020-0688 remoto.
Ahora parece que la búsqueda de servidores expuestos a Internet ha dado sus frutos a la agonía de varias organizaciones sorprendidas. Según múltiples informes, incluido un Tweet de una empresa de ciberseguridad, existe una explotación activa de los servidores de Microsoft Exchange.
Explotación activa de servidores Microsoft Exchange por parte de actores APT a través de la vulnerabilidad ECP CVE-2020-0688. Obtenga más información sobre los ataques y cómo proteger su organización aquí: https://t.co/fwoKvHOLaV#dfir#amenaza#infosecpic.twitter.com/2pqe07rrkg
- Volexidad (@Volexidad) 6 de marzo de 2020
Lo que es aún más alarmante es la participación de actores de amenazas persistentes avanzadas (APT) en todo el esquema.
Por lo general, los grupos APT son estados o entidades patrocinadas por el estado. Se sabe que tienen la tecnología y el poder financiero para atacar sigilosamente algunas de las redes o recursos de TI corporativos más protegidos.
Microsoft calificó la gravedad de la vulnerabilidad CVE-2020-0688 como importante hace casi un mes. Sin embargo, la laguna jurídica de RCE aún debe merecer una seria consideración hoy, ya que la NSA se lo recuerda al mundo de la tecnología.
Servidores de MS Exchange afectados
Asegúrese de parchear lo antes posible para prevenir un posible desastre si todavía está ejecutando un servidor MS Exchange sin parchear con conexión a Internet. Existen actualizaciones de seguridad para las versiones de servidor afectadas 2010, 2013, 2016 y 2019.
Al publicar las actualizaciones, Microsoft dijo que la vulnerabilidad en cuestión comprometía la capacidad del servidor para generar claves de validación correctamente durante la instalación. Un atacante podría aprovechar esa laguna y ejecutar código malicioso en un sistema expuesto, de forma remota.
El conocimiento de la clave de validación permite a un usuario autenticado con un buzón pasar objetos arbitrarios para ser deserializados por la aplicación web, que se ejecuta como SYSTEM.
La mayoría de los investigadores de ciberseguridad creen que violar un sistema de TI de esta manera puede allanar el camino para los ataques de denegación de servicio (DDoS). Sin embargo, Microsoft no ha reconocido haber recibido informes de tal infracción.
Por ahora, parece que la instalación del parche es el único remedio disponible para la vulnerabilidad del servidor CVE-2020-0688.
