Actores de amenazas desconocidos han comprometido servidores Microsoft Exchange accesibles a Internet de organizaciones gubernamentales y empresas de todo el mundo, y han inyectado la página de inicio de sesión de Outlook on the Web (OWA) de las organizaciones con keyloggers basados en navegador, advirtieron los investigadores de Positive Technologies.
Se desconoce el vector inicial del compromiso
Los investigadores no han podido determinar con exactitud cómo los atacantes obtuvieron acceso a los servidores comprometidos.
Algunas de ellas eran vulnerables a una serie de vulnerabilidades antiguas, incluidas ProxyLogon (CVE-2021-26855), las tres vulnerabilidades de ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) y SMBGhost (CVE-2020-0796), pero otras no se vieron afectadas por vulnerabilidades conocidas públicamente, por lo que los atacantes pueden haber utilizado otros métodos para comprometerlas.
Lo que los investigadores pudieron establecer es que las páginas de inicio de sesión fueron comprometidas con:
- Un keylogger de JavaScript que toma las credenciales de inicio de sesión (y ocasionalmente las cookies del usuario) del formulario de autenticación y esencialmente escribe los datos en un archivo en el servidor comprometido al que se puede acceder desde Internet, o
- Un keylogger de JavaScript que filtra los datos a un bot de Telegram o un servidor de Discord y los marca para que los atacantes sepan a qué organización pertenecen las credenciales robadas.
Control de daños
Se han encontrado servidores afectados por estos atacantes en Vietnam, Rusia, Taiwán, China, Australia y otros países de Asia, Europa, África y Oriente Medio.
“La mayoría de los servidores comprometidos se encontraron en organizaciones gubernamentales (22 servidores pertenecientes a entidades gubernamentales), así como en empresas de TI, industriales y de logística”, señalaron los investigadores.
El código JavaScript malicioso es imperceptible para quienes utilizan la página de inicio de sesión de OWA para acceder a su correo electrónico, calendario, etc. a través de un navegador.
Pero las organizaciones pueden y deben revisar todas las páginas de inicio de sesión y los archivos relacionados con la autenticación de usuarios en busca de código potencialmente malicioso, así como la carpeta de MS Exchange Server en busca de shells web y páginas sospechosas. (Para ello, los investigadores han compartido una útil regla YARA).
No hace falta decir que, si descubren que han sido comprometidas, las organizaciones deben realizar una investigación en profundidad para determinar si los atacantes han logrado acceder a otros sistemas y redes y restablecer las credenciales de inicio de sesión de todos los usuarios que accedan a sus cuentas a través de la página comprometida.
Fuente y redacción: helpnetsecurity.com
