Servidores Microsoft Exchange pirateados para implementar el ransomware BlackCat 

Microsoft ha reportado el ransomware denominado BlackCat, este permitiría a un atacante robar datos de usuario, como credenciales y filtrar la información a través de la explotación de múltiples vulnerabilidades de Exchange. 

Este ransomware con un modelo de negocio como servicio (RaaS) se encuentra relacionado al servidor Exchange, afectado por cuatro vulnerabilidades sin parchar, en donde se habían implementado cargas útiles del ransomware en toda la red de PsExec. 

Si bien este ataque permite el acceso a la red para el robo de credenciales, se ha observado que aprovechan cuatro vulnerabilidades de 0-day en Microsoft Exchange, las mismas se detallan a continuación: 

• CVE-2021-26855: de severidad crítica, con una puntuación asignada de 9.8. Esta vulnerabilidad es del tipo server-side request forgery (SSRF), que permite al atacante enviar una petición HTTP arbitraria especialmente formada y autenticarse en el servidor. 

• CVE-2021-26857: de severidad alta, con una puntuación asignada de 7.8. Esta vulnerabilidad se debe a deserialización insegura en el servicio de mensaje unificado (Unified Messaging), que permitiría a un atacante realizar ejecución remota de código (RCE). En el caso de que el servicio se esté ejecutando con privilegios de SYSTEM, el código se ejecutará con permisos de administración. 

• CVE-2021-26858 y CVE-2021-27065: ambas de severidad alta, con una puntuación signada de 7.8. Son vulnerabilidades de escritura arbitraria de archivos, posterior a la autenticación. Las mismas pueden ser explotadas de manera aislada luego de comprometer credenciales legítimas o en combinación con CVE-2021-26855, sin necesidad de credenciales. Ambas pueden derivar en la ejecución remota de código (RCE). 

Las aplicaciones que se ven afectadas por BlackCat en Microsoft son: 

• Exchange Server 2010, 2013, 2016 yo 2019. 

Microsoft recomienda seguir las siguientes instrucciones de mitigación: 

• Ejecutar EOMT.ps1, una herramienta de mitigación local de Exchange (EOMT.ps1)  
• Descargar y ejecutar automáticamente Microsoft Safety Scanner (MSERT). Este es el enfoque preferido cuando Exchange Server tiene acceso a Internet. 
• Ejecutar ExchangeMitigations.ps1: el script ExchangeMitigations.ps1, para servidores de Exchange sin acceso a Internet o para clientes que no desean que Microsoft Safety Scanner intente eliminar la actividad maliciosa que encuentre. 

Posteriormente, se recomienda fijarse en la dirección IP para poder rastrear e identificar a los actores de amenazas, ya que mediante el registro de IP se muestran las devoluciones de llamadas de direcciones IP extranjeras, direcciones de Bitcoin o Monero e ID de transacción, comunicaciones con los actores de amenazas, el archivo descifrador y / o una muestra de un archivo cifrado. 

Adicionalmente, contactar al soporte del fabricante en el siguiente enlace: 

• https://support.microsoft.com/es-es 

Referencias: 

• https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-blackcat-ransomware/ 
• https://www.cert.gov.py/noticias/4-vulnerabilidades-criticas-0-day-en-microsoft-exchange-explotadas-activamente 
• https://msrc-blog.microsoft.com/2021/03/16/guidance-for-responders-investigating-and-remediating-on-premises-exchange-server-vulnerabilities/#How_does_the_attack_work 

• https://support.microsoft.com/es-es 
• https://nvd.nist.gov/vuln/detail/CVE-2021-26855 
• https://nvd.nist.gov/vuln/detail/CVE-2021-26857 
• https://nvd.nist.gov/vuln/detail/CVE-2021-26858 
• https://nvd.nist.gov/vuln/detail/CVE-2021-27065