Ransomware aprovecha las vulnerabilidades ProxyShell para atacar servidores Exchange
AS-087-2021
Fecha: 03/Sept/2021
Resumen:
Sophos trabajó en la resolución de un incidente de seguridad de unos de sus clientes, que fue víctima del Ransomware del grupo Conti. Conforme su investigación se determinó que este grupo hizo uso de las vulnerabilidades CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 que afectan a los servidores Microsoft Exchange.
Las vulnerabilidades, antes descritas, se conocen como ProxyShell, y permiten ganar acceso al servidor para ejecutar comandos de forma remota. El grupo Conti obtuvo el control total de los servidores vulnerables que no habían implementado las actualizaciones liberadas por el fabricante, para después expandirse en la red de la víctima, instalando web shells, y software de acceso remoto como Anydesk.
Durante 48 horas, el grupo Conti exfiltró 1TB de información, y después cifraron la información de los servidores afectados. Una de las fuentes para coleccionar los índices de compromiso, por parte de Sophos, fueron los logs de los servidores Exchange, en donde se observó que el endpoint "autodiscover" contenían llamados a correos desconocidos o extraños.
Sin duda, el conjunto de vulnerabilidades denominado ProxyShell ha sido usado por varios grupos de atacantes; por esta razón, es importante aplicar los parches del fabricante con el fin de prevenir y mitigar este tipo de vulnerabilidades.
Referencia:
