imágenes falsas
Parece cada vez más probable que una vulnerabilidad crítica de día cero que no se solucionó durante más de un mes en Microsoft Exchange fue la causa de uno de los mayores ataques informáticos jamás ocurridos en el Reino Unido: la violación de la Comisión Electoral del país, que expuso datos de tantos como 40 millones de habitantes.
Funcionarios de la Comisión Electoral revelaron la violación el martes. Dijeron que descubrieron la intrusión en octubre pasado cuando encontraron “actividad sospechosa” en sus redes y que “actores hostiles habían accedido por primera vez a los sistemas en agosto de 2021”. Eso significa que los atacantes estuvieron en la red durante 14 meses antes de finalmente ser expulsados. La Comisión esperó nueve meses después de eso para notificar al público.
El compromiso les dio a los atacantes acceso a una gran cantidad de información personal, incluidos los nombres y direcciones de las personas registradas para votar desde 2014 hasta 2022. Los portavoces de la Comisión dijeron que la cantidad de votantes afectados podría llegar a 40 millones. La Comisión aún no ha dicho cuál fue la causa del incumplimiento o el medio de entrada inicial.
Algunas investigaciones en línea realizadas de forma independiente por el reportero de TechCrunch Zack Whittaker y el investigador Kevin Beaumont sugieren que la causa fue un par de vulnerabilidades críticas en Microsoft Exchange Server, que las grandes organizaciones usan para administrar cuentas de correo electrónico. Rastreada como CVE-2022-41080 y CVE-2022-41082, la cadena de ejecución remota de código salió a la luz el 30 de septiembre de 2022, después de haber sido explotada activamente durante más de un mes en ataques que instalaron webshells maliciosos en servidores vulnerables. Microsoft emitió una guía para mitigar la amenaza, pero no corrigió las vulnerabilidades hasta el 8 de noviembre, seis semanas después de confirmar la existencia de la cadena de vulnerabilidades de día cero explotada activamente.
En las semanas posteriores al descubrimiento de los días cero, Beaumont informó que las medidas de mitigación recomendadas por Microsoft podrían pasarse por alto. El miércoles, una vez más criticó a Microsoft, primero por proporcionar una guía defectuosa y nuevamente por tardar tres meses en lanzar parches.
“En ese momento, Microsoft lanzó mitigaciones temporales en lugar de un parche de seguridad; tomó hasta noviembre de 2022 que apareciera una actualización de seguridad para resolver completamente el problema”, escribió el investigador. “Este fue un retraso significativo. Mientras tanto, las mitigaciones de seguridad proporcionadas por Microsoft se omitieron repetidamente”. Más adelante en la publicación, agregó: “Microsoft necesita enviar parches de seguridad para Microsoft Exchange Server más rápido. Necesita algún tipo de tubería de parche de emergencia”.
Citando los resultados arrojados por el motor de búsqueda Shodan para dispositivos conectados a Internet, tanto Beaumont como Whittaker dijeron que la Comisión ejecutó un Exchange Server local expuesto a Internet con Outlook Web App hasta finales de septiembre de 2020, cuando de repente dejó de responder. Las búsquedas muestran que el personal de la Comisión actualizó por última vez el software del servidor en agosto. Como ya se señaló, agosto fue el mismo mes en que comenzaron las explotaciones activas de vulnerabilidades.
“Para ser claros, esto significa que la Comisión Electoral (o su proveedor de TI) hizo el cosa correcta—Estaban aplicando parches de seguridad rápidamente durante este tiempo en 2022”, escribió el investigador.
Más conocido como ProxyNotShell, CVE-2022-41082 y CVE-2022-41080 afectan a los servidores de Exchange locales. Microsoft dijo a principios de octubre que sabía que solo un actor de amenazas explotaba las vulnerabilidades y que el actor se había dirigido a menos de 10 organizaciones. El actor de amenazas habla chino simplificado con fluidez, lo que sugiere que tiene un nexo con China.
En diciembre, el host de la nube Rackspace reveló una brecha que luego dijo que fue causada por la explotación de un código de día cero «asociado con» CVE-2022-41080. En ese momento, los parches lanzados por Microsoft habían estado disponibles durante cuatro semanas. La última publicación, que atribuyó los ataques a un sindicato de ransomware rastreado como Play, criticó la divulgación inicial de la vulnerabilidad por parte de Microsoft.
“Microsoft reveló CVE-2022-41080 como una vulnerabilidad de escalada de privilegios y no incluyó notas por ser parte de una cadena de ejecución remota de código que era explotable”, escribieron los funcionarios de Rackspace.
El hackeo del servidor Exchange de la Comisión es un poderoso recordatorio del daño que puede resultar cuando se abusa del software. También subraya el daño que puede ocurrir cuando los proveedores no brindan actualizaciones de manera oportuna o emiten una guía de seguridad defectuosa. Los representantes de Microsoft no respondieron a un correo electrónico en busca de comentarios.