La vulnerabilidad engaña a los investigadores imitando viejas amenazas
Investigadores de seguridad cibernética han descubierto una nueva vulnerabilidad de día cero que ha surgido en los servidores de correo electrónico Exchange de Microsoft y que ya ha sido explotada por malos actores.
La vulnerabilidad aún por nombrar ha sido detallada por proveedor de ciberseguridad GTSC, aunque todavía se está recopilando información sobre el exploit. Se considera una vulnerabilidad de «día cero» debido al hecho de que el acceso público a la falla era evidente antes de que pudiera estar disponible un parche.
🚨 Están surgiendo informes de que existe un nuevo día cero en Microsoft Exchange, y está siendo explotado activamente en la naturaleza 🚨
Puedo confirmar que un número significativo de servidores de Exchange han sido hackeados, incluido un honeypot.
El hilo para rastrear el problema sigue:
– Kevin Beaumont (@GossiTheDog) 29 de septiembre de 2022
La noticia de la vulnerabilidad se envió por primera vez a Microsoft a través de su programa Zero Day Initiative el pasado jueves 29 de septiembre, detallando que las vulnerabilidades del malware CVE-2022-41040 y CVE-2022-41082 “podrían permitir a un atacante la capacidad de realizar la ejecución remota de código en servidores de Microsoft Exchange afectados, según Tendencia Micro.
Microsoft declaró el viernes que estaba “trabajando en una línea de tiempo acelerada” para abordar la vulnerabilidad de día cero y crear un parche. Sin embargo, el investigador Kevin Beaumont confirmó en Twitter que la falla ha sido utilizada por jugadores nefastos para obtener acceso a los back-ends de varios servidores de Exchange.
Con la explotación ya en estado salvaje, existen amplias oportunidades para que las empresas y las entidades gubernamentales sean atacadas por malos actores. Esto se debe al hecho de que los servidores de Exchange dependen de Internet y cortar las conexiones reduciría la productividad de muchas organizaciones, dijo Travis Smith, vicepresidente de investigación de amenazas de malware en Qualys. Protocolo.
Si bien no se conocen los detalles de cómo funcionan exactamente los programas maliciosos CVE-2022-41040 y CVE-2022-41082, varios investigadores notaron similitudes con otras vulnerabilidades. Estos incluyen la falla Apache Log4j y la vulnerabilidad «ProxyShell», que tienen en común la ejecución remota de código. De hecho, varios investigadores confundió la nueva vulnerabilidad para ProxyShell hasta que quedó claro que la antigua falla estaba actualizada en todos sus parches. Esto dejó en claro que CVE-2022-41040 y CVE-2022-41082 son vulnerabilidades completamente nuevas, nunca antes vistas.
“Si eso es cierto, lo que te dice es que incluso algunas de las prácticas y procedimientos de seguridad que se utilizan hoy en día se están quedando cortos. Vuelven a las vulnerabilidades inherentes en el código y el software que son fundamentales para esto. ecosistema de TI”, Roger Cressey, ex miembro de seguridad cibernética y contraterrorismo de las Casas Blancas de Clinton y Bush, dijo a DigitalTrends.
“Si tienes una posición dominante en el mercado, terminas cuando hay una explotación que crees haber resuelto, pero resulta que hay otras asociadas que aparecen cuando menos lo esperas. Y el intercambio no es exactamente el ejemplo de lo que yo llamaría una oferta segura”, agregó.
El malware y las vulnerabilidades de día cero son una realidad bastante constante para todas las empresas de tecnología. Sin embargo, Microsoft perfeccionó su capacidad para identificar y remediar problemas y poner a disposición parches para vulnerabilidades después de un ataque.
De acuerdo con la Catálogo de vulnerabilidades CISA, Microsoft Systems ha estado sujeto a 238 deficiencias de ciberseguridad desde principios de año, lo que representa el 30% de todas las vulnerabilidades descubiertas. Estos ataques incluyen aquellos contra otras marcas tecnológicas importantes, como Apple iOS, Google Chrome, Adobe Systems y Linux, entre muchas otras.
“Hay muchas empresas de TI de tecnología que tienen días cero que son descubiertas y explotadas por adversarios. El problema es que Microsoft ha tenido tanto éxito en dominar el mercado que cuando se descubren sus vulnerabilidades, el impacto en cascada que tiene en términos de escala y alcance es increíblemente grande. Entonces, cuando Microsoft estornuda, el mundo de la infraestructura crítica se resfría y ese parece ser un proceso repetitivo aquí”, dijo Cressey.
Una de esas vulnerabilidades de día cero que se resolvió a principios de este año fue Follina (CVE-2022-30190), que otorgó a los piratas informáticos acceso a la herramienta de diagnóstico de soporte de Microsoft (MSDT). Esta herramienta se asocia comúnmente con Microsoft Office y Microsoft Word. Los piratas informáticos pudieron explotarlo para obtener acceso al back-end de una computadora, otorgándoles permiso para instalar programas, crear nuevas cuentas de usuario y manipular datos en un dispositivo.
Los primeros informes sobre la existencia de la vulnerabilidad se remediaron con soluciones alternativas. Sin embargo, Microsoft intervino con una solución de software permanente una vez que los piratas informáticos comenzaron a usar la información que recopilaron para apuntar a la diáspora tibetana y las agencias gubernamentales de EE. UU. y la UE.
Recomendaciones de los editores