Trabajadores de la empresa GTSC afirman haber encontrado durante una respuesta ante incidentes trazas de una vulnerabilidad conocida como Zero-day que afecta a los despliegues on premise* de Exchange.
Según los investigadores, la investigación exitosa, de dicha vulnerabilidad, permite a un atacante remoto la subida de un Webshell o Script al servidor donde se aloja dicho servicio.
Microsoft confirma la existencia de estas dos nuevas vulnerabilidades que afectan a los servidores, la primera de ellas es un SSRF (Server Side Request Forgery) es decir, que el atacante realiza consultas a servicios internos de la empresa pudiendo robar datos sensibles, hacer peticiones para el escaneo de puertos, etc …. entre otras cosas y la segunda es un problema de ejecución de código remoto (Remote Code Execution) o RCE .
Estas vulnerabilidades afectan a los servidores Exchange 2013,2016 y 2019 afirmando también que se explotaron estas vulnerabilidades por múltiples actores in-the-wild ( vulnerabilidad descubierta en Internet Explorer 11)
Este ataque ha sido realizado por un grupo de atacantes conocido como HAFNIUM que se dedicaba a intercambiar las formas de explotar dichos agujeros de seguridad y por eso era crucial implementar una actualización para garantizar la privacidad de los datos.
Las victimas que han sido afectadas por este ciberataque rondan entre las 20000 y las 30000 organizaciones solamente en EEUU, sin embargo varios expertos en seguridad creen que la cifra de afectados es mucho mayor.
Estos ataques tienen gran similitud con los ocurridos el año pasado mediante la explotación de ProxyLogon y ProxyShell que derivaron en múltiples campañas de Spam, abuso de servidores para minado de criptomonedas e incluso paralizaron el parlamento Noruego.