¿Qué está sucediendo?
En caso de que se haya perdido la noticia, se cree que cientos de miles de sistemas Microsoft Exchange Server en todo el mundo han sido comprometidos por piratas informáticos, que explotaron vulnerabilidades de día cero para robar correos electrónicos.
Entre las víctimas del hackeo, se encuentra la Autoridad Bancaria Europea.
Los ataques comenzaron aparentemente dirigidos específicamente a organizaciones, pero ahora se han ampliado y aumentado drásticamente.
Como consecuencia, existe una gran posibilidad de que muchas pequeñas empresas, corporaciones y gobiernos de todo el mundo, sean víctimas del ataque sin que lo sepan.
¿Qué es una vulnerabilidad de día cero?
"Día cero" significa que las personas responsables de reparar la vulnerabilidad tenían cero días para hacerlo antes de que la falla fuera expuesta o explotada por los hackers.
En resumen, no se ha lanzado un parche de seguridad oficial, y es posible que los piratas informáticos malintencionados ya se hayan aprovechado de la falla.
Mi empresa utiliza Microsoft Exchange, ¿corremos algún riesgo? ¿Cómo parcheamos?
Lo primero que debe preguntarse es qué versión de Microsoft Exchange utiliza su empresa.
Las vulnerabilidades residen en las ediciones locales de Microsoft Exchange Server. No está presente en los servicios de correo electrónico Exchange Online o Microsoft 365 (anteriormente O365) basados en la nube.
¿Quién está detrás de los ataques?
En una publicación de blog, Microsoft dijo que creía que un grupo de piratas informáticos patrocinado por el estado chino llamado "Hafnium" estaba detrás de los ataques; China ha negado cualquier participación.
Sin embargo, el lanzamiento de los parches de seguridad y la tardanza de algunas organizaciones para defenderse ha alentado casi inevitablemente a otros piratas informáticos a apuntar también a sistemas vulnerables.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dice que está "al tanto de los ciberdelincuentes que utilizan herramientas de código abierto para buscar servidores Microsoft Exchange vulnerables".
¿Está esto relacionado de alguna manera con el ataque SolarWinds del que la gente empezó a hablar hace unas semanas? Se estaba culpando ampliamente a Rusia.
Microsoft ha dicho que no ha visto "ninguna evidencia de que el actor detrás de SolarWinds haya descubierto o explotado alguna vulnerabilidad en los productos y servicios de Microsoft".
Microsoft emitió parches para las vulnerabilidades críticas en Microsoft Exchange Server la semana pasada y recomendó que las organizaciones vulnerables los aplicaran con urgencia.
Si su empresa no está en condiciones de aplicar un parche de inmediato, debe familiarizarse con las mitigaciones alternativas sugeridas por Microsoft y limitar o bloquear el acceso externo a los servidores Exchange conectados a Internet.
Sin embargo, el mejor consejo es aplicar el parche lo antes posible. Cualquier otra cosa es una solución temporal, como cinta adhesiva.
¿Hay algo más que deberíamos estar haciendo?
Si. Obviamente, es algo bueno si ha parcheado sus sistemas, pero eso no deshará ningún daño que ya podría haber sido causado si ya estuviera comprometido.
También debe intentar identificar si su organización ya ha sido violada y si los piratas informáticos se han afianzado.
Microsoft ha lanzado una herramienta que escanea los archivos de registro de Exchange en busca de indicadores de compromiso (IOC) asociados con las vulnerabilidades.
¿Hay algún lugar donde pueda encontrar más información?
Le recomendamos que consulte las publicaciones de blog y los avisos de seguridad que realiza habitualmente Microsoft.
FUENTE: Hot For Security - Bidefender
Comments