Al menos 30.000 organizaciones estadounidenses recientemente pirateadas a través de agujeros en el program de correo electrónico de Microsoft: Krebs on Stability


En los últimos días, al menos 30,000 organizaciones en los Estados Unidos, incluida una cantidad significativa de pequeñas empresas, pueblos, ciudades y gobiernos locales, han sido pirateadas por una unidad de ciberespionaje china inusualmente agresiva que se enfoca en robar correos electrónicos de organizaciones víctimas, múltiples fuentes le dicen a KrebsOnSecurity. El grupo de espionaje está explotando cuatro fallas recientemente descubiertas en Microsoft Trade Server application de correo electrónico, y ha sembrado cientos de miles de organizaciones víctimas en todo el mundo con herramientas que brindan a los atacantes un manage remoto complete sobre los sistemas afectados.

El 2 de marzo, Microsoft lanzó actualizaciones de seguridad de emergencia para tapar cuatro agujeros de seguridad en las versiones de Trade Server 2013 a 2019 que los piratas informáticos estaban utilizando activamente para desviar las comunicaciones por correo electrónico de los sistemas conectados a Online que ejecutan Exchange.

En los tres días transcurridos desde entonces, los expertos en seguridad dicen que el mismo grupo de ciberespionaje chino ha intensificado drásticamente los ataques a cualquier servidor Trade vulnerable y sin parches en todo el mundo.

En cada incidente, los intrusos han dejado un «shell website», una herramienta de piratería fácil de usar y protegida por contraseña a la que se puede acceder a través de Web desde cualquier navegador. El shell internet brinda a los atacantes acceso administrativo a los servidores informáticos de la víctima.

Hablando bajo condición de anonimato, dos expertos en ciberseguridad que informaron a los asesores de seguridad nacional de EE. UU. Sobre el ataque dijeron a KrebsOnSecurity que el grupo de piratas informáticos chino que se considera responsable ha tomado el manage de «cientos de miles» de servidores Microsoft Exchange en todo el mundo, y cada sistema víctima representa aproximadamente una organización que united states of america Exchange para procesar el correo electrónico.

Microsoft dijo que las fallas de Exchange están siendo atacadas por un equipo de piratería chino previamente no identificado al que apodó “Hafnio, ”Y dijo que el grupo había estado realizando ataques dirigidos a los sistemas de correo electrónico utilizados por una variedad de sectores de la industria, incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONG.

De Microsoft aviso inicial sobre las fallas de Exchange acreditado en Reston, Va. Volexidad para informar las vulnerabilidades. Presidente de Volexity Steven Adair dijo que la compañía vio por primera vez a los atacantes explotar silenciosamente los errores de Exchange el 6 de enero de 2021, un día en el que la mayor parte del mundo estaba pegado a la cobertura televisiva de los disturbios en el Capitolio de Estados Unidos.

Pero Adair dijo que en los últimos días el grupo de piratería ha cambiado a toda velocidad, moviéndose rápidamente para escanear Web en busca de servidores Trade que aún no estaban protegidos por las actualizaciones de seguridad que Microsoft lanzó el martes.

«Hemos trabajado en docenas de casos hasta ahora en los que se colocaron world wide web shells en el sistema de la víctima el 28 de febrero (antes de que Microsoft anunciara sus parches), hasta el día de hoy», dijo Adair. “Incluso si aplicaste el parche el mismo día que Microsoft publicó sus parches, existe una alta probabilidad de que haya un shell internet en tu servidor. La verdad es que si está ejecutando Exchange y aún no lo ha parcheado, existe una gran posibilidad de que su organización ya esté comprometida «.

Al ser contactado para comentar, Microsoft dijo que está trabajando en estrecha colaboración con el Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), otras agencias gubernamentales y empresas de seguridad, para garantizar que brinde la mejor orientación y mitigación posibles para sus clientes.

«La mejor protección es aplicar actualizaciones lo antes posible en todos los sistemas afectados», dijo un portavoz de Microsoft en un comunicado escrito. “Continuamos ayudando a los clientes brindándoles orientación adicional sobre investigación y mitigación. Los clientes afectados deben ponerse en contacto con nuestros equipos de soporte para obtener ayuda y recursos adicionales «.

Adair dijo que ha recibido docenas de llamadas hoy de agencias gubernamentales estatales y locales que han identificado las puertas traseras en sus servidores Trade y están pidiendo ayuda. El problema es que parchear las fallas solo bloquea las cuatro formas diferentes en que los piratas informáticos están usando para ingresar. Pero no hace nada para deshacer el daño que puede que ya se haya hecho.

Un tweet de Chris Krebs, ex director de la Agencia de Seguridad de Infraestructura y Ciberseguridad, en respuesta a un tweet del asesor de seguridad nacional de la Casa Blanca, Jake Sullivan.

Según todas las cuentas, erradicar a estos intrusos requerirá un esfuerzo de limpieza nacional urgente y sin precedentes. Adair y otros dicen que están preocupados de que cuanto más tarden las víctimas en quitar las puertas traseras, más possible es que los intrusos sigan instalando puertas traseras adicionales y tal vez ampliando el ataque para incluir otras partes de la infraestructura de pink de la víctima. .

Los investigadores de seguridad han publicado varias herramientas para detectar servidores vulnerables. Una de esas herramientas, un script de Microsoft Kevin Beaumont, ayuda a las empresas a identificar los servidores expuestos.

KrebsOnSecurity ha visto partes de una lista de víctimas compiladas al ejecutar una herramienta de este tipo, y no es una imagen bonita. El shell world-wide-web de puerta trasera está presente de manera verificable en las redes de miles de organizaciones estadounidenses, incluidos bancos, cooperativas de crédito, organizaciones sin fines de lucro, proveedores de telecomunicaciones, servicios públicos y unidades de policía, bomberos y rescate.

«Son departamentos de policía, hospitales, toneladas de gobiernos municipales y estatales y uniones de crédito», dijo una fuente que está trabajando en estrecha colaboración con los funcionarios federales en el asunto. «Casi todos los que ejecutan Outlook World wide web Obtain autohospedado y que no recibieron un parche hace unos días recibieron un ataque de día cero».

Otro experto en ciberseguridad del gobierno que participó en una llamada reciente con múltiples partes interesadas afectadas por esta ola de piratería teme que el esfuerzo de limpieza requerido sea hercúleo.

“En la llamada, muchas preguntas fueron de distritos escolares o gobiernos locales que necesitan ayuda”, dijo la fuente, hablando con la condición de que no fueran identificados por su nombre. “Si estos números son de decenas de miles, ¿cómo se realiza la respuesta a incidentes? Simplemente no hay suficientes equipos de respuesta a incidentes para hacer eso rápidamente «.

Cuando lanzó parches para las cuatro fallas de Trade Server el martes, Microsoft enfatizó que la vulnerabilidad no afectó a los clientes que ejecutan su servicio Trade On-line (el correo electrónico alojado en la nube de Microsoft para empresas). Pero las fuentes dicen que la gran mayoría de las organizaciones victimizadas hasta ahora están ejecutando algún tipo de sistema de correo electrónico Microsoft Outlook Internet Obtain (OWA) con conexión a Internet en conjunto con servidores Exchange internamente.

«Es una pregunta que vale la pena hacerse, ¿cuál será la recomendación de Microsoft?», Dijo el experto en ciberseguridad del gobierno. «Dirán» Parche, pero es mejor ir a la nube «. Pero, ¿cómo están protegiendo sus productos que no son de la nube? Dejándolos secar en la vid «.

El experto en ciberseguridad del gobierno dijo que esta ronda de ataques más reciente no es característica de los tipos de piratería a nivel de estado-nación que normalmente se atribuyen a China, que tiende a centrarse bastante en comprometer objetivos estratégicos específicos.

«Es imprudente», dijo la fuente. «Parece fuera de lugar que los actores estatales chinos sean tan indiscriminados».

Microsoft ha dicho que las incursiones de Hafnium en servidores vulnerables de Exchange no están relacionadas de ninguna manera con los ataques separados relacionados con SolarWinds, en los que un presunto grupo de inteligencia ruso instaló puertas traseras en el program de administración de crimson utilizado por más de 18.000 organizaciones.

“Seguimos sin ver evidencia de que el actor detrás de SolarWinds descubrió o explotó alguna vulnerabilidad en los productos y servicios de Microsoft”, dijo la compañía.

Sin embargo, los eventos de los últimos días pueden terminar eclipsando con creces el daño causado por los intrusos de SolarWinds.

Esta es una historia de rápido movimiento y es possible que se actualice varias veces a lo largo del día. Manténganse al tanto.

Actualización, 8:27 p.m. ET: Cableado reportero de ciberseguridad Andy Greenberg ha confirmado haber escuchado el mismo número de víctimas que se cita en este informe: “Es masivo. Absolutamente masivo ”, dijo a WIRED un exfuncionario de seguridad nacional con conocimiento de la investigación. «Estamos hablando de miles de servidores comprometidos por hora, a nivel mundial». Leer la cuenta de Greenberg aquí.

Asimismo, el primer y exdirector de CISA, Chris Krebs (sin relación) parece ser sugiriendo en Twitter que los números de víctimas citados aquí son conservadores (o simplemente ya están desactualizados):

Actualización 8:49 p.m .: Incluyó un enlace a una de las herramientas más recomendadas para encontrar sistemas vulnerables a este ataque.


Etiquetas: Andy Greenberg, Chris Krebs, Hafnium, defectos del servidor de Microsoft Trade, Steven Adair, Volexity, cableado

Esta entrada se publicó el viernes 5 de marzo de 2021 a las 4:07 pm y está archivada en Últimas advertencias, La tormenta que se avecina, Hora de parchear.
Puede seguir cualquier comentario a esta entrada a través de la fuente RSS 2..

Puede saltar hasta el remaining y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia initial