Addictware | Noticias de Tecnología - Reciente vulnerabilidad en Microsoft Exchange Server

Millones de organizaciones utilizan Microsoft Exchange Server para correo electrónico y calendario. Este vector de explotación se dirige a los servidores Microsoft Exchange capaces de recibir conexiones que no son de confianza de una fuente externa.

 

 

fortinet logoHasta 30,000 empresas y agencias gubernamentales en Estados Unidos han sido blanco de una agresiva campaña de hacking que explota vulnerabilidades en versiones de Microsoft Exchange Server, y algunos expertos afirman que se han explotado "cientos de miles" de servidores Exchange en todo el mundo. Microsoft atribuye estos ataques a una organización de ciberespionaje conocida como HAFNIUM, que opera desde China continental.

 

Millones de organizaciones utilizan Microsoft Exchange Server para correo electrónico y calendario. Este vector de explotación se dirige a los servidores Microsoft Exchange capaces de recibir conexiones que no son de confianza de una fuente externa. Entre sus capacidades se encuentra un ataque de ejecución remota de código (RCE) que permite a los atacantes instalar puertas traseras (backdoors) en la red para su uso posterior. Una vez instaladas, estas puertas traseras pueden permanecer activas incluso después de aplicar los parches para el exploit original.

 

El 2 de marzo, Microsoft lanzó varios parches para sus versiones on-premises de Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019. Estos parches fueron en respuesta a varios ataques dirigidos a las vulnerabilidades CVE-2021-26855, CVE- 2021-26857, CVE-2021-26858 y CVE-2021-27065. El servicio en línea de Microsoft Exchange Server no se ve afectado. Desde el lanzamiento de estos parches, HAFNIUM ha acelerado la explotación de estas vulnerabilidades, probablemente buscando comprometer a tantas organizaciones como sea posible antes de que las empresas puedan aplicar los parches de Microsoft.

 

Según Microsoft, HAFNIUM es un grupo de ciberespionaje patrocinado por el estado que se dirige principalmente a entidades en Estados Unidos en una serie de sectores industriales, incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONGs. Su objetivo principal es obtener acceso a redes valiosas con el fin de filtrar datos a sitios de intercambio de archivos como MEGA. Sin embargo, informes recientes han demostrado que esta es ahora una campaña global que está siendo aprovechada por otros atacantes como resultado de revertir el parche, para causar más daño.

 

Los equipos FortiGuard Labs y de Microsoft se pusieron en contacto de inmediato a través de su membresía en el MAPP (Microsoft Active Protections Program), un programa en el que Fortinet ha participado desde 2005. Fortinet publicó un informe de Threat Signal con detalles sobre este exploit el 3 de marzo. También lanzó cuatro parches FortiGuard IPS el 3 y 4 de marzo para proteger a los clientes de Fortinet de estos ataques. Las soluciones FortiEDR y FortiXDR protegen automáticamente a los clientes de estos ataques con actualizaciones permanentes.

 

¿Qué se debe hacer?

Si cree que su organización es vulnerable a este exploit, recomendamos las siguientes acciones:

 

1. Aplique un "hot patch". Esta es la estrategia de actualizar los dispositivos de seguridad para bloquear automáticamente los intentos de explotación.

 

2. Realice un inventario de activos para identificar todos los servidores Microsoft Exchange afectados implementados en su organización.

 

3. Ejecute comprobaciones de versión para ver si se han parcheado.

 

4. Aplique los parches adecuados siempre que sea posible. Los dispositivos que no se pueden parchear deben protegerse con un dispositivo de seguridad capaz de detectar y prevenir tal vulnerabilidad.

 

5. Aplique escaneo avanzado aprovechando los indicadores de compromiso conocidos para detectar abandonos y comportamientos anómalos que resultan de un exploit exitoso, como el uso de una puerta trasera no autorizada.

 

6. Los clientes de Fortinet pueden usar FortiVPN para separar el servidor Exchange del acceso externo.

 

Debido a la facilidad de interrupción que permite este exploit y al potencial de dañar las operaciones diarias, es esencial que las organizaciones mantengan actualizadas todas las firmas de antivirus (AV) e IPS. Es fundamental que las organizaciones establezcan una evaluación de seguridad periódica y una rutina de parcheo. Esto garantiza que todas las vulnerabilidades conocidas por los proveedores se aborden y actualicen constantemente para evitar que los atacantes establezcan un punto de apoyo dentro de la red.