HAFNIUM — Microsoft Exchange

2021-03-02

La campaña de explotación masiva a principios de 2021 contra las instalaciones locales de Microsoft Exchange Server, en la que se explotaron a escala cuatro vulnerabilidades no reveladas anteriormente (CVE-2021-26855, CVE-2020-26857, CVE-2020-26858, y CVE2020-27065 colectivamente el clúster "ProxyLogon") en más de 250.000 servidores en todo el mundo atribuidas formalmente por los Estados Unidos, el Reino Unido, la Unión Europea, la OTAN, Japón, Australia, Nueva Zelanda y Canadá en una declaración coordinada del 19 de julio de 2021 a actores asociados con el Ministerio de Seguridad del Estado de la República Popular China.

0:00 / 0:00

Lectura en audio de esta entrada.

Los antecedentes

Microsoft Exchange Server es la plataforma de correo electrónico y calendario empresarial local producida por Microsoft Corporation. El producto local (distinto del servicio en la nube Microsoft 365 / Exchange Online) se despliega en una fracción sustancial de los entornos empresariales pequeños, medianos y grandes del mundo, de las instituciones del sector público y las instituciones educativas.

Las vulnerabilidades posteriormente se designaron como CVE-2021-26855, CVE2021-2687 y CVE/2021-27065 colectivamente el clúster "ProxyLogon", después de que la principal vulnerabilidad de falsificación de solicitudes del lado del servidor CVE-2020-26855 que dio lugar al acceso autenticado se identificara a finales de 2020 y principios de 2021. Las vulnerabilidad fueron comunicadas a Microsoft por el investigador de seguridad Orange Tsai del equipo DEVCORE el 5 de enero de 2021; Volexity descubrió de forma independiente y informó por separado el mismo grupo de vulnerabilidades a Microsoft, y es co-acreditado en el asesoramiento de divulgación original de Microsoft. Microsoft programó el desarrollo de parches durante enero y febrero de 2021 con la divulgación pública planificada como parte del ciclo de lanzamiento mensual de actualizaciones de seguridad. A lo largo del período aproximadamente desde principios de enero del 2021, sin embargo, las vulnerabilidades habían sido identificadas de manera independiente y estaban siendo explotadas por la escala de intrusión cibernética posteriormente establecida por Microsoft.

La Operación

La campaña de explotación masiva se movió a través de dos fases operacionalmente distintas. La primera fase, caracterizada en los informes posteriores de Microsoft y la firma de seguridad como una campaña de exploración "limitada y dirigida", se desarrolló desde aproximadamente principios de enero de 2021 hasta finales de febrero de 2021. En esta fase, los operadores atribuidos a HAFNIUM explotaron las vulnerabilidades de ProxyLogon contra objetivos seleccionados de alto valor por la posterior caracterización de Microsoft, principalmente universidades de investigación con sede en los Estados Unidos, contratistas de defensa, bufetes de abogados, investigadores de enfermedades infecciosas, grupos de expertos en políticas y organizaciones no gubernamentales de una manera sustancialmente consistente con el ciberespionaje tradicional dirigido por humanos.

La segunda fase, que comenzó aproximadamente a fines de febrero de 2021 y se aceleró bruscamente a lo largo del 26 y 28 de Febrero de 2021, una vez que quedó claro que Microsoft estaba preparando parches, fue una campaña de explotación masiva en la que los operadores atribuidos a HAFNIUM (y, en los días y semanas subsiguientes, varios otros actores cibernéticos estatales y no gubernamentales que realizaron ingeniería inversa de los parches y el detalle de divulgación pública) comprometieron todos los servidores de Exchange locales accesibles y sin parches que pudieron identificar en la Internet pública. El compromiso incluyó, en la mayoría de los casos observados, la implementación de una o más shells web pequeños scripts del lado del servidor que permiten la ejecución de comandos remotos persistentes para permitir la posterior vulnerabilidad del host revisado. Microsoft estimó que más de 250,000 servidores Exchange a nivel mundial fueron comprometidos en toda la campaña.

Microsoft lanzó los parches de emergencia fuera de banda y reveló la vulnerabilidad y la atribución de HAFNIUM públicamente el 2 de marzo de 2021. La Agencia de Seguridad Cibernética e Infraestructura (CISA, por sus siglas en inglés) emitió la Directiva de Emergencia 21-02 el 3 de marzo del 2021 que requiere que las agencias civiles federales apliquen los parche o desconecten sus instalaciones de intercambio en las instalaciones. La realidad operativa de la campaña que los paquetes eran necesarios pero no suficientes, porque los servidores ya comprometidos retuvieron los shells web desplegados por el operador independientemente de la solución de vulnerabilidad subyacente produjo una cola sostenida de investigación, remediación y re-compromiso en las semanas posteriores.

Divulgación

La Oficina Federal de Investigaciones, en una acción operativa sin precedentes, obtuvo una orden de búsqueda y incautación del Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Texas en abril de 2021 que autoriza a FBI a acceder a los servidores de Microsoft Exchange comprometidos en Estados Unidos y a eliminar las conchas web desplegadas por el operador de esos servidores sin el conocimiento o consentimiento previo de los propietarios de los servidors afectados.

La atribución formal de la operación HAFNIUM al Ministerio de Seguridad del Estado de la República Popular China se realizó el 19 de julio de 2021 en una declaración coordinada emitida simultáneamente por el Gobierno de los Estados Unidos, el Gobierno del Reino Unido, la Unión Europea, la OTAN, Japón, Australia, Nueva Zelanda y Canadá. La declaración de atribución del 19 de Julio de 2021 fue la más amplia atribución coordinada de actividad cibernética a nivel estatal a nivel occidental y aliado en el registro público en la fecha de la declaración. El Departamento de Justicia de los EE.UU., en la misma fecha, abrió las acusaciones contra cuatro oficiales de MSS adscritos al Departamento de Seguridad Estatal de Hainan en relación con una actividad de intrusión cibernática separada rastreada como APT40 / Leviathan actividad de invasión que abarca desde 2011 hasta 2018, que precede a la campaña de intercambio HAFINIUM.

El Ministerio de Relaciones Exteriores de la República Popular China caracterizó la declaración del 19 de julio de 2021 como "infundada" y las acusaciones subyacentes como "fabricaciones"; las posteriores declaraciones del Gobierno chino han seguido negando la dirección estatal de la actividad.[1]

El legado

HAFNIUM es el caso de referencia canónico para la explotación masiva a nivel estatal como un oficio. El patrón operativo el uso de vulnerabilidades de día cero no reportadas para una campaña inicial de focalización limitada, seguido (cuando los operadores identificaron que la divulgación pública era inminente) por la quema deliberada de esas vulnerabilidades a través de una explotación en masa indiscriminada para maximizar el acceso previo al parche del operador se ha replicado sustancialmente en campañas posteriores.

La operación de limpieza de FBI de abril de 2021 es un asunto separado de importancia de registro público. La operación estableció el precedente de que el Gobierno de los Estados Unidos, por orden judicial, podría acceder a sistemas comprometidos de propiedad privada dentro de Estados Unidos y eliminar el malware desplegado por el operador sin el consentimiento previo del propietario del sistema. La base legal de la operación ha sido objeto de considerables comentarios académicos posteriores, incluidos comentarios críticos de organizaciones de libertades civiles y de académico legal.

La atribución coordinada del 19 de julio de 2021 es la atribución occidental y de estados aliados más amplia de la actividad cibernética a nivel estatal en el registro público. La participación de la OTAN, la UE y toda la membresía de Five Eyes más Japón en una sola declaración de atribución coordenada sin la escalada incremental de la etapa anterior que ha caracterizado a la mayoría de las atribuciones estatales occidentales anteriores se ha descrito en el análisis académico posterior como un cambio sustancial en el enfoque institucional occidental para la atribucción pública de la ciberactividad estatal.

Dossiers y agencias relacionados

Este expediente es el análogo de explotación masiva al compromiso de la cadena de suministro documentado en SolarWinds (SUNBURST) (2020) y a los datos de personal documentados en la violación de datos de la OPM de 2015. Se conecta a la divulgación de herramientas cibernéticas ofensivas de Vault 7 (2017) en la literatura de operaciones cibernáticas y a Stuxnet como la operación cibernótica ofensiva canónica de los estados occidentales. Las entradas a nivel de agencia más directamente involucradas son la Agencia Central de Inteligencia (CIA) y la Agencia de Seguridad Nacional (NSA) por la razón analítica del país y la función de China en el contexto.

Fuentes y lecturas adicionales

Corporación Microsoft, documentación del producto Microsoft Exchange Server; informe de encuesta de la industria sobre el despliegue de Exchange Server, 20202021.
Centro de Respuesta de Seguridad de Microsoft, "HAFNIUM apuntando a los servidores de Exchange con explotaciones de 0 días", 2 de marzo de 2021; Orange Tsai (DEVCORE), declaraciones públicas sobre la línea de tiempo de divulgación de ProxyLogon, 2021; Entradas de la Base de Datos de Vulnerabilidad Nacional para los cuatro CVEs de Proxylogon: Certificado de seguridad de Microsoft.
Verificación editorial
Puntuación de confianza: 85% (provisional) · Versión editorial 2026-05-11
Puntuación calculada a partir de la última auditoría más las correcciones posteriores a 33 de 39 afirmaciones fácticas; una reauditoría independiente está pendiente.
Última auditoría 2026-05-11.
Sobre nuestra metodología de verificación →