Se refuerza la idea de proteger los servidores

A principios de este mes de marzo de 2021, diversos investigadores de ciberseguridad han detectado un ransomware que aprovecha diferentes vulnerabilidades de los servidores de Microsoft Exchange. A estas vulnerabilidades se les conoce como de día cero, al ser desconocidas, y son: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065.

DearCry es el apodo de el ransomware que deshabilita sistemas informáticos para pedir un rescate por ellos. El ataque se inicia explotando una vulnerabilidad de falsificación de petición del lado de servidor para robar el contenido del buzón del usuario. Los atacantes pueden apropiarse de los servidores sin conocer las credenciales de las cuentas, porque los defectos se pueden encadenar para crear un exploit de ejecución remota de código. La prevención del ataque mediante parches es sencilla, pero los sistemas ya afectados no serán fáciles de arreglar.

En torno a 30.000 empresas de los EE. UU. se han visto afectadas y atacadas por el ransomware, entre las cuales hay empresas industriales, bufetes de abogados o laboratorios de estudio de enfermedades infecciosas. Turquía, EE.UU. e Italia han sido los países más perjudicados hasta el momento, con ataques que rondan el 17% al sector público y militar y un 14% al sector industrial.

Las vulnerabilidades

Inicialmente, se han detectado cuatro vulnerabilidades en los servidores de Microsoft Exchange, estas únicamente se dirigen a servidores locales. Por lo tanto, no se ven afectados por estos fallos del sistema los servidores en la nube.

La información inicial que requiere el atacante es el servidor donde se ejecuta el software de Exchange y la cuenta que quiere robar (CVE-2021-26855). Haciendo uso de un segundo exploit encadenado al primero, le permite la ejecución remota de código en el servidor (CVE-2021-27065). La tercera vulnerabilidad que también forma parte de este segundo exploit encadenado permite escribir un nuevo archivo en cualquier ruta del servidor atacado (CVE-2021-26858). El ultimo fallo, permite ejecutar códigos SYSTEM después de atacar la vulnerabilidad de deserialización en el servicio de mensajería unificada (CVE-2021-26857).

• CVE-2021-26855: esta vulnerabilidad se emplea para un ataque de falsificación de solicitud a través del lado del servidor teniendo como resultado un código de ejecución remoto.
• CVE-2021-26857: esta segunda vulnerabilidad se emplea para ejecutar códigos arbitrarios de parte del sistema. es necesario contar con permisos de administrador o haber realizado la explotación de la vulnerabilidad anterior.
• CVE-2021-26858 y CVE-2021-27065: a través de estos dos últimos identificadores de código, que hacen referencia a las últimas vulnerabilidades, los atacantes las emplean para sobrescribir los archivos del servidor.

La mayoría de los ataques vistos hasta el momento, usan todas las vulnerabilidades en conjunto para realizar el ataque, pero Microsoft afirma que se pueden usar credenciales robadas para autentificarse sin usar CVE-2021-26855.

Medidas de respuesta

Las medidas de prevención recomendadas son, en primer lugar, identificar y aplicar los parches necesarios para el sistema, mediante las actualizaciones emitidas por Microsoft. Hasta ahora, las versiones vulnerables de Exchange Server son 2013, 2016 y 2019. Así pues, hace una recomendación de actualización para todos los servidores, principalmente a los que están conectados a internet.

En segundo lugar, se recomienda utilizar las alternativas temporales ofrecidas por Microsoft cuando no se pueda hacer uso de los parches. Siempre que el descifrado SSL este habilitado para el tráfico de datos del Exchange Server, los firewalls de próxima generación protegen contra estas vulnerabilidades, como es el caso de Palo Alto Networks (NGFW).

Para protegerse contra esta segunda vulnerabilidad se puede restringir el acceso al sistema a los usuarios que no son de confianza a través de una VPN o usando un firewall para limitar el acceso a diferentes IPs. Se debe tener en cuenta que a través de este proceso solo se protegerá contra el inicio del ataque.

Tercero, se puede realizar una búsqueda de indicadores de compromiso mediante el uso del script PowerShell de Microsoft. Es decir, se debe buscar si la organización ya se ha visto comprometida, ya que parchear el sistema no elimina los malware que ya están implementados.

A través de los scripts de Powershell y Nmap que ha desarrollado Microsoft para verificar los servidores Exchange, se pueden detectar los indicadores de compromiso de los exploits. Además, la Agencia de Seguridad e infraestructura y Ciberseguridad también ha descrito una lista de técnicas y procedimientos (TTP) para proteger los servidores.

Por último, llevar a cabo todas estas medidas evitará que se pueda volver a comprometer cualquier sistema en un futuro. Las actualizaciones offline son fundamentales para mantener protegidos los servidores.

El acceso a la información confidencial se ha visto totalmente comprometido, así como a los correos corporativos que puede dar lugar a ataques de phishing. La primera fase se puede detener limitando las conexiones del exterior de la red corporativa, pero realizar este tipo de protección no sirve si los atacantes ya se encuentran dentro del servidor.

¿Cómo proteger el servidor?

Si aún no ha sufrido un ataque proteger el servidor es fundamental, aunque no existan amenazas conocidas. Existen diferentes modos de proteger los sistemas, descritos a continuación:

• Panda Adaptive Defense 360

Adaptive Defense 360 es una solución EPP, que aporta una seguridad es sencilla y centralizada, con acciones de remediación e informes en tiempo real, así como filtrado y monitorización web. Para este caso de ataque Defense 360 cuenta con detecciones de payloads de powershell. Además, realiza una monitorización de accesos web continua.

También automatiza la detección y respuesta ante cualquier amenaza ya sea phishing, ransomware o exploit en memoria dentro y fuera del servidor corporativo. Este sistema de defensa es muy apropiado porque la mayoría de los ataques son causados por vulnerabilidades conocidas, son muy pocos los casos de brechas de seguridad de vulnerabilidades desconocidas, comúnmente conocidas como ataques de día cero.

Asimismo, panda ofrece el sistema Panda Patch Management para desplegar parches y actualizaciones para sistemas operativos y aplicaciones de terceros.

Por tanto, Panda Adaptative Defense 360 se caracteriza por:

• Proporcionar visibilidad de los endpoint en tiempo real, parches y actualizaciones pendientes.
• Prioriza las actualizaciones de los sistemas operativos y aplicaciones de manera que monitoriza en tiempo real el sistema y las aplicaciones de terceros.
• Reduce la superficie de ataque por vulnerabilidades con el fin de prevenir incidentes adelantándose a la explotación de debilidades.
• Tras detectar ataque lo contiene y lo mitiga mediante parches minimizando el tiempo de respuesta.
• IPS

La función de IPS es ejercer un control de acceso en una red para proteger a los sistemas de ataques. Se desarrolló con el fin de analizar los datos e información del ataque para poder actuar en consecuencia, de manera que se detiene en el mismo momento que se está ejecutando. En el caso particular del ataque sufrido por Microsoft Exchange, IPS de Firefox bloquea la primera etapa de ataque.

• Gateaway Antivirus

Este antivirus permite a las aplicaciones verificar archivos buscando diferentes virus a la par que proporciona un servicio web de detección de virus basados en SOAP. Gateaway dispone de diferentes caminos para detectar y bloquear las Webshells utilizadas en este último ataque masivo.

• ATP Blocker

Por ejemplo, WatchGuard APT Blocker realiza un análisis para determinar si un archivo es malintencionado, a partir de la identificación y el envío de estos archivos a una sandbox en la nube donde se simula un hardware físico. Es entonces en la nube donde se ejecuta y se analiza el código para detectar las amenazas, si se detecta que es un archivo malicioso APT Blocker bloquea y garantiza que todos los archivos digitales permanezcan seguros. Es decir, este sistema es capaz de detectar backdoors maliciosas.

Conclusiones

A través de este análisis se describe lo ocurrido con Microsoft Exchange en este último mes, pero el fin es mentalizar a todas las compañías, ya sean grandes o pequeñas, que es fundamental proteger sus equipos y servidores ya sea a través de antivirus, actualizaciones o parches, pero la combinación de estos tres traerá consigo una protección clave para evitar robo de información confidencial, pagos por secuestro y phishing.

En el caso de Microsoft Exchange, ha hecho públicos los indicadores de compromiso junto con la publicación de script de Powershell y diferentes herramientas de Github para ayudar a identificar las amenazas y ataques ante estas vulnerabilidades. Son diversas las empresas informáticas que han contribuido a publicar información sobre estas amenazas para que puedan ser gestionadas y sobrellevadas por compañías que no disponen de las herramientas suficientes.