Muchos servidores de Exchange aún son vulnerables a …


Una vulnerabilidad de escalada de privilegios parcheada en febrero por Microsoft continúa afectando a los servidores de Trade, y más del 80% de los servidores conectados a Internet siguen siendo vulnerables, informa una empresa.

Casi cuatro meses después de que Microsoft reparara una vulnerabilidad grave en los servidores de Microsoft Trade, más de 350,000 servidores conectados a Online continúan siendo vulnerables a la falla de escalada de privilegios, según un informe publicado el miércoles.

Si bien Microsoft parchó el problema (CVE-2020-0688) en febrero, más del 80% de los servidores de Microsoft Exchange conectados a Net siguen siendo vulnerables, lo que requiere que los atacantes encuentren o suplanten una sola credencial válida para comprometer completamente el sistema de correo electrónico de una empresa, amenaza- la firma de protección Quick7 declaró en su «2020: Q1 Danger Report». Según los datos de escaneo de la compañía, solo 7,000 sistemas, aproximadamente el 2% del overall, han sido parcheados en las cuatro semanas entre finales de marzo y finales de abril, lo que indica que las compañías no están priorizando el problema.

Si bien Microsoft solo calificó la vulnerabilidad como «importante», el enfoque de los atacantes en la recopilación de credenciales significa que la barrera para explotar la vulnerabilidad es en realidad bastante baja, dice Wade Woolwine, investigador principal de seguridad de Immediate7.

«Esta vulnerabilidad les da a los atacantes algo que ver con todas esas credenciales que han robado de sus empleados», dice. «Es realmente importante para las compañías parchear este tipo de vulnerabilidades, incluso si están en un ciclo de parche de 30 días definido».

Los servidores de correo electrónico y mensajería son un objetivo popular de piratas informáticos sofisticados y actores de espionaje patrocinados por el estado. La agencia de inteligencia militar de Rusia, por ejemplo, se ha dirigido a servidores de correo EXIM vulnerables, explotándolos para obtener acceso al contenido de los mensajes de correo electrónico de la organización. Dos años después de que Microsoft cerró los agujeros de seguridad en el cliente de correo de Outlook, los piratas informáticos iraníes continuaron intentando explotar la vulnerabilidad, a menudo con cierto éxito, advirtió el Comando Cibernético de Estados Unidos el año pasado.

La última vulnerabilidad de Microsoft Trade se debe a que el computer software no genera claves de cifrado únicas en el momento de la instalación, según la iniciativa de día cero de Trend Micro, que fue acreditado por Microsoft por informar de la vulnerabilidad.

Quick7, que escanea regularmente Web para recopilar datos sobre software package vulnerable, dijo que la vulnerabilidad debería considerarse crítica y agregó que «nos aterroriza».

«Los datos confidenciales que se intercambian a través del correo electrónico y la facilidad con la que un atacante puede socializar su camino para obtener credenciales válidas, combinado con el impacto ilimitado de tener acceso a los buzones ejecutivos hace que esto sea digno de una prioridad crítica, descartar todo lo demás -ahora parche » la compañía dijo en su informe.

El informe subraya que las credenciales comprometidas siguen representando una amenaza significativa para las empresas, con un 74% de los incidentes reportados por la detección y respuesta administrada (MDR) de la empresa a clientes que involucran credenciales comprometidas. El uso de credenciales contra aplicaciones accesibles a la world-wide-web, servicios en la nube y servidores API continúa siendo una de las amenazas de violación de datos más importantes, segundo en la lista de métodos de ataque comunes solo detrás del phishing, según el «Informe de investigaciones de violación de datos 2020» de Verizon.

«Los atacantes adoran las credenciales porque son muy fáciles de obtener», dice Woolwine de Immediate7. «Siempre se trata, al menos, con frecuencia, de credenciales. Con todo moviéndose a la nube, esas credenciales son mucho más valiosas».

Sin embargo, Quick7 también encontró otras amenazas, incluidos ataques a la tecnología utilizada por trabajadores remotos para conectarse a la purple de su empresa. Los dispositivos de pink privada virtual, incluidos los de Cisco, Citrix, Fortinet y Pulse Safe, todos tenían vulnerabilidades dirigidas por escaneos en todo el Web, lo que sugiere que los atacantes probablemente estén tratando de comprometer los dispositivos para usar como cabeza de playa en empresas específicas.

Al menos una vulnerabilidad ya ha provocado violaciones en las empresas. De las 17 infracciones investigadas por Fast7 en el primer trimestre, nueve se debieron a una vulnerabilidad crítica en Citrix NetScaler.

En typical, sin embargo, la compañía no vio un aumento masivo en los compromisos, ya que las empresas tuvieron que adaptarse a las órdenes de quedarse en casa a fines de marzo mientras se extendía el impacto de la pandemia de coronavirus. Las 17 infracciones investigadas por la empresa durante el trimestre fueron casi las mismas que en trimestres anteriores, dice Woolwine.

«Realmente esperábamos el pandemonio», dice. «Si se observa la tormenta perfecta de miedo, frustración y problemas políticos, la pandemia parece generar el tipo de caos en el que prosperan los atacantes. Pero no vimos tantos compromisos como esperábamos».

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Darkish Reading, MIT&#39s Technologies Review, Common Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más suggestions





Enlace a la noticia unique