Servidores de Exchange sufren ataques de varios grupos mientras Microsoft rompe una botnet

Servidores de correo de Microsoft Exchange están siendo atacados por varios grupos de hackers respaldados por gobiernos gracias a una vulnerabilidad, según apunta la compañía de seguridad Volexity. Se desconocen los nombres de estos grupos y los gobiernos que están detrás de ellos, porque Volexity no ha entrado en detalles. Si se sabe que la vulnerabilidad en cuestión, ya detectada, comenzó a parchearse el 11 de febrero en una de las actualizaciones de seguridad que lanza periódicamente Microsoft.

Esta vulnerabilidad, identificada como CVE-2020-0688, hace que durante su instalación, los servidores de Microsoft Exchange fallen a la hora de crear una clave criptográfica única para el panel de control de Exchange. Por lo tanto, utilizarán la misma que otros servidores. En concreto, una idéntica a la que tienen todos los servidores lanzados durante más de 10 años. El backend de todos sus paneles de control tiene la misma.

Como consecuencia, los atacantes pueden enviar peticiones a estos paneles de control que contengan datos serializados maliciosos. Además, como conocen las claves de cifrado del panel de control, pueden asegurarse de que los datos serializados dejan de serlo, lo que tiene como resultado que el código malicioso se ejecuta en el backend del servidor de Exchange. Este código se ejecuta con privilegios de administrador, lo que da a los atacantes el control total del servidor.

Cuando lanzó el parche para parchear esta vulnerabilidad, Microsoft aconsejó a los administradores de Exchange que la instalasen cuanto antes, y en las dos semanas siguientes no hubo incidentes. Pero después de que el grupo Zero-Day Initiative, el que comunicó el bug a Microsoft, publicase un informe técnico con detalles sobre la vulnerabilidad y cómo funcionaba, empezaron los ataques.

Solo un día después de la publicación del informe, según Zdnet, varios grupos de hackers comenzaron a buscar servidores de Exchange en Internet, haciendo una lista de los que podían utilizar para sus fines, y ya se están produciendo ataques. Los primeros han sido del tipo APT, es decir, ataques realizados por grupos respaldados por gobiernos, y se espera que pronto les sigan otros.

Eso si, hay que tener en cuenta que para explotar la vulnerabilidad descrita, los hackers necesitan las credenciales de acceso a una de las cuentas de correo del servidor de Exchange a atacar, lo que dificulta bastante el ataque. Esto deja fuera a los atacantes principiantes, pero deja el campo libre para los expertos, que cuentan con mecanismos para hacerse con claves de acceso a cuentas, generalmente mediante phishing. Eso sí, si las cuentas están protegidas mediante sistemas de autenticación en dos pasos, no se puede acceder a ellas, salvo que las credenciales se hubiesen conseguido antes de la instauración de este sistema de protección.

Mientras tanto, Microsoft ha interrumpido, en una operación conjunta con otras entidades de 35 países, la operación de una botnet operada por la mayor organización cibercriminal del mundo. Esta botnet, conocida como Necurs, ha infectado hasta la fecha unos nueve millones de ordenadores en todo el mundo, y es una de las mayores redes de spam a través del correo electrónico. Se calcula que en dos meses es capaz de enviar nada menos que 3,8 millones de emails.

Para poder «romper» Necurs, Microsoft analizó una técnica que usa esta botnet para generar dominios nuevos a través de un algoritmo. A continuación predijo cerca de seis millones de dominios que se crearían a lo largo de 25 meses, y se los envió a registros de todo el mundo, de manera que se puedan bloquear y evitar así ataques futuros. Se trata por tanto de una operación que ha durado mucho tiempo: nada menos que ocho años.

Microsoft y otras entidades que colaboran con la compañía comenzaron a observa el funcionamiento de Necurs en 2012, y la han visto distribuir malware como GameOver Zeus, con el que las autoridades consiguieron acabar en 2014. Probablemente ha estado implicada en estafas y mensajes de correo de spam falsos de tipo farmacéutico. Las autoridades creen que detrás de ella hay un grupo de cibercriminales rusos.

A pesar de observar su funcionamiento tanto tiempo, y de estar listos para poder abortar su funcionamiento, Microsoft no ha podido hacerlo hasta contar con la autorización de las autoridades, que no ha llegado hasta hace unos días. Hace escasas fechas que un tribunal estadounidense dio la orden que permitía a Microsoft tomar el control de la infraestructura de Necurs en Estados Unidos. Gracias a esto, además de bloquear nuevos dominios y evitar su registro, Microsoft está trabajando ya con los ISPs para ayudar a eliminar el malware de Necurs de los ordenadores de sus clientes.