Vulnerabilidad en Microsoft Exchange

Las recientes vulnerabilidades de ProxyLogon y ProxyShell en servidores de Microsoft Exchange obsoletos permiten a ciberdelincuentes implementar malware Squirrelwaffle en sistemas vulnerables para secuestrar cadenas de correo electrónico.

Después de una investigación sobre una serie de infecciones se identificó un nuevo cargador de malware llamado SquirrelWaffle. Estos ataques fueron documentados por Trend Micro y se cree que comenzaron en septiembre de 2021 a través de documentos de Microsoft Office infectados. https://www.trendmicro.com/en_us/research/21/k/Squirrelwaffle-Exploits-ProxyShell-and-ProxyLogon-to-Hijack-Email-Chains.html

Por ahora, se conoce que los ciberatacantes envían correos electrónicos maliciosos como respuestas a cadenas de correo electrónico preexistentes, en las que se involucró el uso de una cadena de vulnerabilidades CVE-2021-26855 (ProxyLogon), CVE-2021-34473 y CVE-2021-34523 (ProxyShell). Estas vulnerabilidades están asociadass con algunas fallas en los servidores de Microsoft Exchange y pueden permitir que un hacker eleve privilegios y ejecute código arbitrario de forma remota, tomando el control de máquinas vulnerables.

El uso de estos exploits públicos CVE-2021-26855 (ProxyLogon), CVE-2021-34473 y CVE-2021-34523 (ProxyShell) se documentó en tres de los servidores de Microsoft Exchange que se vieron comprometidos en diferentes ataques utilizando el acceso a secuestrar hilos de correo electrónico legítimos y enviar mensajes de spam como respuestas, aumentando así la probabilidad de que los destinatarios desprevenidos abran los correos electrónicos.

Los investigadores agregan que los ciberdelincuentes detrás de la operación no hicieron movimientos laterales ni instalaron malware adicional para permanecer fuera del radar y evitar activar alertas. La distribución de spam mediante esta técnica para llegar a todos los usuarios del dominio interno reducirá la posibilidad de detectar o detener el ataque, ya que los correos electrónicos no podrán filtrar ni poner en cuarentena ninguno de estos correos electrónicos internos. La cadena de ataque involucra mensajes de correo electrónico que contienen un enlace que, cuando se hace clic, descarga un archivo de Microsoft Excel o Word. Al abrir el documento, se le solicita al destinatario que habilite las macros, lo que lleva a la descarga y ejecución del cargador de malware SquirrelWaffle, que se convierte en un punto de entrada para amenazas en etapa tardía como Cobalt Strike y Qbot.

Documento malicioso de Microsoft Excel usado por SquirrelWaffle

C2USER Recomienda mantener sus servidores Exchange actualizados. Microsoft ha solucionado estas vulnerabilidades de ProxyLogon y ProxyShell, sin embargo no parchear los servidores Exchange invita a los cibercriminales a ingresar a sus sistemas.